情報セキュリティ基礎 [1-1 情報のCIA]
情報にはさまざまな形態がある。
特に近年は技術の高度化により、保存形態の面でも伝送形態の面でもバリエーションが増加している。
情報セキュリティのとらえ方
- 機密性(Confidentiality)
アクセスコントロールとも呼ばれる概念。許可された正当なユーザだけが情報にアクセスするよう。システムを構成することが要求される。 - 完全性(Integrity)
情報が完全で正確であることを保証する。情報の一部が失われたり、改ざんされたりすると完全性が失われる。 - 可用性(Availability)
ユーザが情報を必要とするときに、いつでも利用可能な状態であることを保証する。機器が保証していたり、停止していたりすることで可用性は低下する。 - 真正性
システムや利用者になりすましできないこと。主張する通りのものであること。 - 責任追跡性
情報システム、情報資産を利用した記録が確実に残ること。 - 否認防止
事象の発生と、それをやらかしたのが誰かを特定できること。 - 信頼性
システムの動作とその結果が意図された通りになっていること。意図する行動と結果とが一貫している。
クラッカーだけがセキュリティの敵ではない
情報セキュリティという言葉は、マスコミの報道などもあってクラッカーからシステムを保護するという意味合いにとられる場合が多くなっている。
しかし、機密性、完全性、可用性の情報セキュリティの要素をみると、必ずしも情報セキュリティはクラッカーのみによって侵害されるわけではないことがわかる。
例えば、コンピュータの故障は可用性を低下させる要因で、情報セキュリティにとって脅威となる。
情報セキュリティの目的
情報セキュリティは、セキュリティを達成すること、それ自体が目的ではない。セキュリティ施策を推進すているうちに、目的と手段がいれかわることは、ままあるので、目的を明確化することは重要。セキュリティ管理を行う目的は主に以下のようなもの。
- 情報資産の保護
- 顧客からの信頼獲得
- 1.と2.の結果として、競争力、収益力の維持・向上