情報セキュリティの特性
情報セキュリティ(information security)について
情報セキュリティとは
情報セキュリティとは、企業や組織の情報資産の安全性を確保・維持することです。
国際規格ISO/IEC 27001,27002、及び日本工業規格 JIS Q 27001,27002「情報セキュリティマネジメントシステム-要求事項」では、情報セキュリティに関して以下のように定義しています。
情報セキュリティ(information security)
情報の機密性、完全性及び可用性を維持すること。
さらに、真正性、責任追跡性、否認防 止及び信頼性のような特性を維持することを含めてもよい。
情報セキュリティの特性とは
情報セキュリティの定義におけるそれぞれの特性は以下の意味となります。
機密性(Confidentiality) | 情報資産へのアクセスを明確化する特性です。アクセスを許可された者と許可されない者に区別し、権限範囲内でのみ活動できるようにします。アクセス制御、実行権限、認証、暗号といったセキュリティ技術により確保します。 |
完全性(Integrity) | データの正当性・正確性・一貫性を維持する特性です。ハッシュ関数やディジタル署名などはデータの完全性を保障する技術です。 |
可用性(Availability) | 必要な時に、正常なサービスを提供できるようにシステムを維持する特性です。設備の二重化(クラスタリング)やシステムリソースの定期保守をすることで、システムの遅延や停止を回避します。 |
真正性(authenticity) | プロセス、システム、データ及び操作者が、確実に認証・識別できる特性です。人間を対象とした場合には、権限のなりすましによる情報資産へのアクセスを防止する技術を利用します。 |
責任追跡性(accountability) | 操作者、プロセス、システムの動作内容を一意に追跡できることを確実にする特性です。入退館やシステム操作に対する証跡・ログを確実に取得する仕組みを策定します。 |
否認防止(non-repudiation) | ある事象が発生した後で、否認されないように証明する特性です。ディジタル署名やタイムスタンプは否認防止に有効な技術です。 |
信頼性(reliability) | 実行した操作や処理結果に矛盾が発生しないことを確実にする特性です。定期保守やテスト強化でバグを排除することで対策します。 |
情報セキュリティ対策の種類
情報セキュリティの対策は、施設やハードウェア的な対策である「物理的セキュリティ」と、システムや技術及び管理上規約などで対策する「論理的セキュリティ」に分類できます。
物理的セキュリティ
物理セキュリティとは、建物や設備などのフィジカルなセキュリティを指します。
物理的な装置の設置には、物理的な「不正持ち出し対策」に加えて、組織・人に対する「けん制と抑止」という効果があります。
組織の構成員に対して、常に見られているという意識を持たせ、情報漏洩を行う気を起こさせない効果を発揮します。
不正行為に対する物理的装置での対策例としては以下のものが挙げられます。
- 監視カメラの設置
- 入退室管理設備(暗証番号、ICカードやバイオメトリクスなどの認証システム)
- 物理的な侵入者検知システム
- 重要データの厳重な保管場所の設置
- 盗難防止のための制度
また、情報資産を損失させる要素として、自然災害や偶発的人災があります。
災害や設備障害などの被害を最小限にとどめるための、復旧設備やバックアップなどを予め確保しておきます。
- 代替拠点の確保
- データのバックアップの保管
- 耐震対策
- 水害対策
論理的セキュリティ
論理的セキュリティとは、物理面以外のセキュリティのことであり、組織管理的セキュリティ、人的なセキュリティ、システムや技術的なセキュリティなどが挙げられます。
組織管理的セキュリティとは、情報セキュリティポリシを実施し、組織内での情報セキュリティを実現するために教育や訓練を行うという組織管理に関するセキュリティです。
組織における情報の取り扱い方を定義し、ユーザーのアクセス権限を設定するなどして情報システムへのアクセス管理を厳密にします。
- 組織体制の整備
- 社内規程の整備
- 定期的な改善
- 事件事故対応
人的セキュリティとは、組織の構成員に対して統一された情報セキュリティ意識を持たせることで、人的脅威に対するリスクの発生を最小限に抑えることを目的とするセキュリティです。
人に対して、不正行為や情報漏洩を行う気を起こさせないための抑止力を持ちます。また、事故発生時の対応方法を提示することで、被害の拡大を食い止める効果もあります。
- 雇用契約
- 守秘義務契約
- 教育訓練
技術的セキュリティとは、システム上で情報を管理するための技術面におけるセキュリティです。ウイルスや不正アクセスを防止するための技術を用いて対策を行います。
- 本人認証
- ウイルス対策
- 不正アクセス対策(アクセス制御)
- ログの採取と点検
- データの暗号化