Loading [Contrib]/a11y/accessibility-menu.js

2019年1月30日水曜日

情報セキュリティの定義

作成:2018年01月30日

情報セキュリティとは

「情報セキュリティ」とは、JIS Q 27000: 2014 の定義に基づくと、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を維持することを言います。

この3つの要素の頭文字を撮って「CIA」とよく言ったりします。

「このセキュリティ対策は機密性の観点では有効だが、完全性の観点が抜けている。それを補うため、私が提案する施策はウンタラカンタラ・・・」

なーんて、立て板に水のように言えるとなんだかカッコいいですよね。

なお、CIAの3つ特性に加え、追加でいくつかの特性とを含めることもあります。
以下、それぞれ簡単に整理していきたいと思います。

基本の3要素:CIA

機密性(Confidentiality)

許可された人のみが情報資産にアクセスできる特性
暗号化認証アクセス制御等により機密性を担保します。

完全性(Integrity)

ある情報資産が本来想定した状態から改ざんされておらず、信頼に足る状態である特性
ハッシュ署名等により完全性を担保します。

可用性(Availability)

ある情報資産にアクセスできる人は、いつでもその情報資産にアクセスできる特性
システム冗長化等により可用性を担保します。

追加要素

真正性(Authenticity)

利用者が適正であることや、情報資産が改ざんされておらず、利用者や情報資産が主張するとおりのものであるという特性
認証技術暗号技術等により真正性が担保されます。

責任追及性(Accountability)

ログ等により、いつ何が起こったのかを適切に追跡/追求できる特性。
各種機器からの出力ログや、ログ管理の仕組みによって責任追及性が担保されます。
ただし、挙動追跡のためのログが十分にそろっていること、およびログが改善されていないことが前提です。

否認防止(Non-repudiation)

作成や更新した情報を、後でなかったことにされないようにする特性
「そんなこと言ったっけ?」と後からトボけられないようにする、ということですね。
タイムスタンプ署名技術の活用などで担保されます。

信頼性(Reliability)

情報システムの処理が適切であり、矛盾なく動作できるような構成である特性。
システム冗長化等の高信頼システム構成技術で担保されます。

0 件のコメント:

コメントを投稿