様々な分野で、要素をまとめるために〇大□□のようなまとめられ方をしているのをよく見ます。
例えば、世界3大名所や、日本がっかり3大名所などがあります。
情報セキュリティの分野においても同じように、主要な要素がまとめられています。
今回は情報セキュリティにまつわるいくつかの例を紹介していきます。
情報セキュリティを構成する3つの要素のことをまとめて情報セキュリティ3大要素と呼びます。
3大要素は、それぞれ「機密性(confidentiality)」「完全性(integrity)」「可用性(availability)」で、それぞれの頭文字をとりCIAと呼ばれることもございます。
一つ一つ説明していきます。
「機密性」とは、情報へのアクセスや管理を徹底することを指します。例えば、家の中に情報があるとした場合、家の鍵をかけた後、鍵を修復不可能な形で破棄してしまえば、機密性は高く保たれます。
しかし、この後説明する「可用性」を著しく損なうため、通常はここまで極端なことはせず、鍵を取り扱う人を限定したり、鍵を扱った人を記録するといった方法で運用することが多いです。
「完全性」とは、情報の提供者の意図する情報が提供されているかを指します。例えば、Webページの改ざんは完全性を損ねている状態と言えます。
Webページの例では、通常デジタル署名をつけることで改ざんを検知する仕組みが導入されています。
「可用性」とは、情報へのアクセスしやすさを示します。「可用性」は、よくセキュアにすると失われるものとして論じられることが多いです。
先に挙げた家の例だと、可用性を上げると、鍵の不正利用といった「機密性」が下がるといった関係が強くあります。
先ほど挙げた「機密性」「完全性」「可用性」に4つ追加されます。「真正性」「信頼性」「責任追跡性」「否認防止」です。それぞれ詳しく説明していきます。
「真正性」とは、情報のやり取りをする相手が本当に正しいか、ということです。
通信している相手が想定する相手と異なっている場合、機密情報を搾取されてしまう可能性があります。
「信頼性」とは、データやシステムが意図したとおりに動くことです。システムのエラーやヒューマンエラーによって、ユーザの意図しない動きをしないよう対策することで「信頼性」は上がります。
「責任追跡性」とは、有事の際、責任をどこまで追跡できるか、という考え方です。システムログやアクセスログをとることで、「責任追跡性」を向上させることは可能ですが、ログのスケーリングやログローテーションの策定など、こちらも費用対効果で引き合いに出されることが多いです。
「否認防止」とは、読んで字のごとく責任を訴追した際、否認できなくすることです。例えば、ログを2重で持っておくとか、複数のログの組み合わせで各ユーザの動きを後から追えるようにし、証拠として使えるようにシステムを構成することで、「否認防止」を向上させることができます。
情報セキュリティ〇大要素として、3大要素と7大要素を取り上げました。
自社組織のセキュリティ向上のため対応するためには、時間や費用、人的資産といったリソースとの兼ね合いになります。
一体どの要素を充足させるために、この対策をするのか、を意識すると考えがまとまりやすくなるかもしれません。
入会申込
ログイン
