情報セキュリティの要件
情報システムが持つリスク(脅威)のことを固有リスクといいます。地震の発生を減らすことはできませんし、ウイルスの存在を減らすことも困難です。すなわち、固有リスクを減少させることはできないのです。しかし、固有リスクをインシデントになるのを減少させることはできます。それが情報セキュリティ対策なのです。
ISO 7498-2:1989(JIS Q 7498-2:1989) は,OSIプロトコルのセキュリティアーキテクチャを定めていますが、その附属書に一般的なセキュリティに関する記述があり,その中で「セキュリティという用語は,資産および資源の脆弱性(vulnerability)を最小限にするという意味で使用する」と定義されています。
そこでは、脆弱性を減らすことは、機密性・完全性・可用性を高めることだしています。これを情報セキュリティの3要件といいます(この英語の頭文字を並べるとCIAになります。覚えやすいですね)。
この3要件は、そこ後拡大されてきました。ISO/IEC27000:2014(JIS Q 27000:2014)はISMS(情報セキュリティマネジメントシステム)の規格の用語集ですが、情報セキュリティを(情報資産の)「機密性,完全性,可用性を維持すること。真正性,責任追跡性,信頼性,否認防止などの特性を維持することを含めることもある」と定義しています。
必須3要素(CIA)
- 機密性(守秘性)(Confidentiality)
- 許可された者が許可された方法でのみ情報にアクセスできることを確実にすること。
・脅威:故意・過失による情報の漏洩(無権限者にデータが読まれたり取られる)
・対策:暗号化、パスワードの設定 - 完全性(Integrity)
- 情報及び処理方法の正確さ及び完全である状態を安全防護すること。
このインテグリティは、完全性、保全性、一貫性など多様な訳語がありますが、どうも適切なものがなく、専門家は訳さずにインテグリティといっています。
・システム設計・プログラムミスによる不完全処理→テストの徹底
・誤データ・不正データの入力→入力チェックの強化 - 可用性(Availability)
- 許可された利用者が、必要なときに情報にアクセスできることを確実にすること。
・自然災害、停電等→防災設備、予備電源
・機器の故障→二重化、事前保守・復旧迅速化
・DoS攻撃による業務妨害→ネットワーク監視強化
オプション4要素
- 真正性(Authenticity)
- ある主体または資源が,主張どおりであることを確実にする特性。
・本人認証、改ざん防止など。 - 責任追跡性(Accountability)
- 情報資産へのある操作について、過去に遡って追跡し操作者と操作を一意に特定できる特性。
・ログシステムや記録簿などにより実現される。 - 否認防止(Non-Repudiation)
- ある活動または事象が起きたことを,後になって否認されないように証明する能力。
・ディジタル署名やディジタル証明書により実現される。 - 信頼性(Reliability)
- 意図した動作および結果に一致する特性。
・情報システムのバグや誤動作など