今回は社会人が情報セキュリティをどのような観点で守っていくのかに注目してみましょう。
情報資産はどんな観点で守るべき?
会社内には日々やりとりされている様々な情報資産があります。
これらは主に下記3つの「セキュリティのCIA」の観点で守っていくよう心がけていきましょう。
(JIS Q 27000(ISO/IEC 27000)より)
【1】機密性(Confidentiality)
まず、許可した人以外に情報を見せないことです。
具体的にはアクセス権限をしっかりと設定しましょう。
パスワードには暗号をかけて、USBなどは物理的にも施錠できる金庫に格納すると良いでしょう。
(対策例:アクセス権限、暗号化、施錠など)
【2】完全性(Integrity)
→ 情報が正確で過不足なく間違っていないこと(対策例:アクセス制限など)
【3】可用性(Availability)
→ 故障など緊急時も使いたい情報が使えること(対策例:サーバ二重化など)
上記3つに加えて、1996年に下記2つが追加されています。
【4】真正性(Authenticity)
→ 情報が本物で主張通りであることを確実にすること(対策例:本人認証など)
【5】責任追跡性(Accountability)
→ 利用者やシステムによる動作の証跡を一意に追跡できること。(対策例:ログからの追跡)
【6】信頼性(Reliability)
→ システムやプロセスの動作が矛盾なく意図したとおりの結果と一致すること。(対策例:繁忙期の負荷を見越した設計)
そして、2006年にはさらに下記が1つ追加されています。
【7】否認防止(Non-Repudiation)
→ ある活動または事象が起きたことを、後になって否認されないように証明できること。(対策例:ディジタル署名により、執筆者が「これ書いたの私ジャナイヨ」などと否定できないようにする)
社会人として情報資産を守っていくにあたり、上記7つの観点は必須です。
特に会社内で取り扱う取引先との情報は丁寧に丁寧に扱っていくように心掛けましょう。
きっと社内外であなたの信頼に繋がるはずですよ。
Photo by Jerry Kiesewetter on Unsplash
