今回はどのような観点で情報資産を守っていくのかに注目してみましょう。
目次
どんな観点で守るの?
主に下記3つの「セキュリティのCIA」の観点で守ります。
(JIS Q 27000(ISO/IEC 27000)より)
【1】機密性(Confidentiality)
→ 許可した人以外に情報を見せないこと(対策例:アクセス権限、暗号化、施錠など)
【2】完全性(Integrity)
→ 情報が正確で過不足なく間違っていないこと(対策例:アクセス制限など)
【3】可用性(Availability)
→ 故障など緊急時も使いたい情報が使えること(対策例:サーバ二重化など)
1996年に下記2つが追加されます。
【4】真正性(Authenticity)
→ 情報が本物で主張通りであることを確実にすること(対策例:本人認証など)
【5】責任追跡性(Accountability)
→ 利用者やシステムによる動作の証跡を一意に追跡できること。(対策例:ログからの追跡)
【6】信頼性(Reliability)
→ システムやプロセスの動作が矛盾なく意図したとおりの結果と一致すること。(対策例:繁忙期の負荷を見越した設計)
2006年にはさらに下記が1つ追加されます。
【7】否認防止(Non-Repudiation)
→ ある活動または事象が起きたことを、後になって否認されないように証明できること。(対策例:ディジタル署名により、執筆者が「これ書いたの私ジャナイヨ」などと否定できないようにする)
これら7つの観点から脅威と向き合っていくようにしましょう。
Photo by Jerry Kiesewetter on Unsplash