情報セキュリティの三大要素
企業が保有する情報は単なる情報ではなく、「情報資産」と認識し、情報資産の価値に損失が出ないようにしなければならない。
物理的脅威 火災、天災、ハードウェア障害などの物理的障害
技術的脅威 不正アクセスによる情報漏洩、Web改ざん、ウイルスによるデータ破壊など
人的脅威 オペレーターによる入力ミス、削除ミス、データ持ち出しなど
これらの脅威に対策する為に、情報セキュリティという。
情報セキュリティ 情報の機密性、完全性、可用性を維持すること
機密性 強化されていない利用者及びプロセスは、情報にアクセスできないようにすること
完全性 情報及びその処理方法が、正確及び完全であること。たとえば、ある情報に対して入力や変更といった処理が行われる過程で、内容の改ざんと欠落などがなく、正しく処理されること。
可用性 許可された利用者及びプロセスが要求した時、いつでも情報にアクセスできること。
要は、情報の機密性、完全性、可用性を確保、維持することにより、様々な脅威から情報システムや情報などの情報資産を保護し、情報システムの信頼性を高めることが情報セキュリティの概念。
情報セキュリティポリシーは運用ルール
企業や組織は総合的な情報セキュリティポリシーを策定し、それを従業員に公表・通知しなくてはならない。組織全体で統一な情報セキュリティ対策を実施することが不可欠。
この情報セキュリティポリシは、情報セキュリティ基本方針と情報セキュリティ対策基準から構成される。
情報セキュリティ基本方針、組織における情報セキュリティ対策の基本的な考え方を表すもので、どのような脅威から、何を、何故保護になければならないかを明らかにし、組織の情報セキュリティに対する姿勢を示す。
情報セキュリティ対策基準、情報セキュリティ基本方針に基づき、情報セキュリティ対策を講ずるにあたり遵守すべき行為及び判断などの基準の統一するため、必要となる基本的な要件を定めたものです。
情報セキュリティポリシの位置付けと策定手順
リスク分析とリスク対応
リスク分析
リスク分析の手順
①どのようなリスクが存在するかを調査する。
②それぞれのリスクがどれくらいの頻度で発生するのかを分析する
③それぞれのリスクが起こった時の損失や被害の程度、損失額、業務への影響を見極める。
リスクの大きさをリスク値で算定する。算定方法は、定量的評価と定性的評価
定量的評価 リスクが現実化したときの「予想損失額*確率」をリスク評価額。
定性的評価 数量的に評価するのではなく、情報資産の価値、脅威、脆弱性相対的評価値を用いて、その積でリスク値を算定する。
リスク対応
二つの考え方
①リスクコントロール リスクが現実化しないように事前防止、現実化しても損失を最小限。
②リスクファイナンス リスクが現実化したときのために備える資金対策。
情報セキュリティポリシの実施サイクル
情報セキュリティ対策は、後に見なす必要がある。
PLAN(計画・策定)⇒DO(実施)⇒CHECK(点検、評価)⇒ACT(見直し・改善)といったPDCAサイクルを継続的に繰り返す。
この取り組みは、ISMS(情報セキュリティマネジメントシステム)
練習問題
情報セキュリティは、機密性、完全性、可用性の三つの事項を維持するものと定義される。
情報セキュリティ基本方針は、組織における情報セキュリティ対策に対する基本的な考え方や仕組みを明文化したものである。
情報セキュリティポリシの適用対象は、パートを含める全従業員である。
リスク分析におけるリスク値の算定方法は、定量的と定性的評価がある。
PDCAサイクルにおいて、情報資産のリスクアセスメントはPLANフェーズで実施される。
PDCAサイクルにおいて、セキュリティ教育はDOフェーズで実施される。