登録日:
2025-03-23
最終更新日:
2025-03-23
第1章 情報セキュリティ基礎
1.1.情報のCIA
- 情報のCIA(機密性(Confidentiality)、完全性(Integrity)、可用性(Availability))
- 故障や災害の場合でも、情報セキュリティ対策が必要
- セキュリティはコストということを忘れずに、コストを惜しんでリスクゼロを目指さない
1.1.1.情報のCIA
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
情報の形態
情報には多様な形態があり、近年では技術の高度化にともない保存形態や伝送形態でも多様な方法が存在する。
-
情報保存
- CD-R、DVD
- 紙
- ハードディスク
...などなど
-
情報伝送
- メール
- FAX
- 口頭
- 手渡し
- チャット
...などなど
情報セキュリティのとらえ方
- 情報セキュリティの概念と目的
情報の保全を行い業務を安全に遂行する指標として、機密性、完全性、可用性が定義されている。
※ 国内の情報セキュリティマネジメントシステム(JIS Q 27001 ISMSにおける認証基準)でも採用。
機密性(Confidentiality:コンフィデンシャリティ)
機密性(Confidentiality)は、別名アクセスコントロールとも呼ばれる概念で、許可されたユーザのみ情報にアクセスできるようにシステムを構成することが要求される。
| メンバーA | メンバーB | メンバーC | |
|---|---|---|---|
| 閲覧 | 〇 | 〇 | × |
| 変更 | 〇 | 〇 | × |
| 削除 | 〇 | × | × |
完全性(Integrity:インティグリティ)
完全性(Integrity)は、情報が完全で正確であることを保証します。
情報の一部が欠損したり、改竄されたりすると完全性が失われます。
可用性(Availability:アベイラビリティ)
ユーザが情報を取得する際、利用可能な状態であることを保証する。
機材などが故障、停止し情報が利用的ない場合、可用性は低下する。
情報セキュリティの指針
| 意味 | セキュリティが低下する要因 | |
|---|---|---|
| 機密性 | 許可された利用者のみが利用できる | 権限の一極集中、見直し不足 |
| 完全性 | 情報が改竄されていないか | 紛失、改竄、故障など |
| 可用性 | 常に利用可能か | 故障、保守性の悪さ |
セキュリティの敵はだれか
情報セキュリティは、「クラッカーからシステムを保護する」と思われがちです。
しかし、情報セキュリティの3要素(機密性、完全性、可用性)を確認するとクラッカーにシステムが侵害されるだけが原因ではないということがわかる。
例:PC故障などは可用性を低下する原因にり、情報セキュリティの脅威となる。
情報セキュリティの目的
情報セキュリティは、セキュリティの目的を達成する事態は目的ではない。
セキュリティ管理の目的3要素
- 情報資産の保護
- 顧客からの信頼獲得
- 情報資産の保護と顧客からの信頼獲得の結果から、競争力、業績(維持・向上)
情報セキュリティは手段であり、目的は強固な経営体質を築くこと。
情報セキュリティはコストである
情報セキュリティを維持するには、それなりの費用(コスト)が必要になるが、直接的に利益を生み出すものではない。
情報セキュリティの導入による弊害
- セキュリティ機器などの導入コスト
- 業務手順の煩雑化
- 人件費の増加
