情報セキュリティとは
情報セキュリティとは「情報の機密性、完全性および可用性を維持すること」と定義されています(JIS Q 27000)。この3つを情報セキュリティの3要素、または頭文字を取ってCIAと呼ぶことがあります。さらに同JISでは「真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある」とも記載されています。これら4要素も含めて、情報セキュリティの7要素と呼ばれています。
セキュリティレベルを上げるということは、これら7要素の確保を確実に行っていくということに他なりません。
機密性 (confidentialit)
認可されていない個人、エンティティまたはプロセスに対して情報を使用させず、また開示しない特性です。不正アクセス、情報漏洩、改ざんなどから重要な情報を守ることを表します。
機密性維持の対策としては、次のようなものがあげられます。
- 情報へのアクセス権限を最小限に制限します。
- 情報を暗号化し、たとえ不正アクセスや漏洩があっても内容を解読できないようにします。
- デフォルトのパスワードや共通のパスワード、安易なパスワードの使用を禁止し、かつパスワードの定期的な変更を促します。
- 物理的に、安易に持ち出せるところに重要な情報を保存しません。
完全性 (integrity)
正確さおよび完全さの特性です。情報の破壊や改ざんなどがない、正確な情報を保持することを表します。これにより信頼性や円滑な業務の遂行が守られます。
完全性維持の対策としては、次のようなものがあげられます。
- 情報へのアクセス権限を最小限に制限します。
- 情報を暗号化して改ざんから保護します。
- 情報の変更履歴を記録し、不正な変更を検知できるようにします。
- 情報のバックアップをとり、情報の破壊や改ざんがあった場合に復元できるようにします。
可用性 (availability)
認可されたエンティティが要求したときに、アクセスおよび使用が可能である特性です。情報は必用なときに、必要なものを取り出して使えなければ意味がありません。これにはシステムやデータが常に利用可能な状態にあり、中断することなく利用できることが重要です。
可用性維持の対策としては、次のようなものがあげられます。
- システムを冗長化し、障害発生時に自動的に切り替わるようにします。
- 情報のバックアップをとり、障害発生時にすぐ復旧できるようにします。
- UPS(無停電電源装置)を使用します。
- 自然災害や火災に備え、データセンターの分散化やバックアップデータを遠隔地で保管します。
真正性 (authenticity)
エンティティはそれが主張するとおりのものであるという特性です。情報の発信者や情報へのアクセス者がいわゆる「なりすまし」ではなく、本人であることを保証するものです。
真正性維持の対策としては、次のようなものがあげられます。
- 電子署名やデジタル署名を利用する。
- 二段階認証や多要素認証を採用する。
- アクセスログを記録し、問題が発生した場合でも責任の所在を明確にします。
責任追跡性 (accountability)
あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性です。誰が、いつ、どのように情報にアクセスし、どのような操作を行ったかを追跡できるようにします。また自身の行動が記録されることを示すことで、不正行為を未然に防ぐ効果を期待できます。
責任追跡性維持の対策としては、次のようなものがあげられます。
- アクセスログを記録します。
- 操作ログを記録します。
- システムログを記録します。
否認防止 (non-repudiation)
主張された事象または処置の発生、およびそれらを引き起こしたエンティティを証明する能力です。情報の発信や変更を行った者が後からその行為を否定できないように、確かにこの人が行ったという証明を行えるようにします。
否認防止維持の対策としては、次のようなものがあげられます。
- アクセスログ、操作ログ、システムログを記録します。
- 電子署名やデジタル署名を採用します。
信頼性 (reliability)
意図する行動と結果とが一貫しているという特性です。システムやデータが意図したとおり、正確に動作することを表します。
信頼性維持の対策としては、次のようなものがあげられます。
- システムが不具合を起こさないように設計、テストを徹底します。
- 操作ミスしてもデータが改ざんされたり、消失したりしない仕組みを組み込みます。
コメント