情報セキュリティ
目的は、「情報の機密性・完全性・可用性を維持すること」(情報セキュリティの3要素)
情報セキュリティマネジメントの国際規格であるISO/IEC27000シリーズにおいて、定義されている。
これに加え、真正性・信頼性・責任追求性・否認防止が求められる。
情報資産と脅威・脆弱性
資産として価値のある情報のことを情報資産という。
情報資産に対して攻撃や危害を加えて、業務遂行に好ましくない影響を与える原因となるものが脅威という。
脅威は、情報資産や管理策に内在している弱点である、脆弱性を突いてくる。
リスクマネジメント
リスクとは、組織の情報資産の脆弱性を突く脅威によって、組織が損失を被る可能性のこと。
リスクを組織的に管理していくことをリスクマネジメントという。
リスクアセスメント
情報資産に対するリスクを分析・評価して、リスク受容基準に照らして対応が必要か判断していくこと。
①リスク特定 - 保護対象において、組織に存在するリスクを洗い出す
②リスク分析 - リスクの大きさ(リスクレベル)を算定する。資産価値・脅威・脆弱性の大きさによって決まる。
③リスク評価 - 対策が必要か判断する。大きさによって優先順位をつける。
リスク対応
実際にどのような対応をするのかを決定するのがリスク対応。
リスク対応は、リスクの発生確率や大きさを小さくする方法(リスクコントロール)と、損失を補塡するために金銭的な手当てをする方法(リスクファイナンシング)
・リスクコントロール
-リスク軽減 - 損失額、発生確率を低く抑える。
-リスク回避 - リスクの原因を除去
-リスク移転 - リスクを第三者へ移転・転嫁(共有)する
・リスクファイナンシング
-リスク保有 - 影響度が小さいのは、許容する。
-リスク移転 - リスクを第三者へ移転・転嫁(共有)する
ビズネスインパクト分析
災害などの予期せぬ事態によって、特定の業務が停止・中断した場合に、事業全体に与える影響度を分析・評価すること。
情報セキュリティポリシ
情報セキュリティポリシとは、組織内の情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書のこと。
情報セキュリティ基本方針
情報セキュリティ基本方針は、組織のトップが、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言するもの。
これを策定する上で参考にできるのが、経済産業省が策定した情報セキュリティ管理基準がある。
また、情報セキュリティー基本方針の他に、プライバシポリシを定めることもある。
CSIRT
企業や官公庁などに設けるセキュリティ対策チームのこと。
ISMS適合評価制度
組織における情報セキュリティに対する取り組みに対して、ISMS認定基準の評価事項に適合していることを特定の第三者が審査して認定する制度のこと。
ISMSとは情報セキュリティマネジメントシステムと訳す。
また、ISMS適合評価制度の認定を受けた組織は、改善と活動を継続するPCDAサイクルを実施していく。
国内では、JIS Q 27000シリーズがISMSの規格となっている。
セキュリティバイデザイン
システムの企画・設計段階から、セキュリティ対策を組み込んでおく考え方。
上流工程から個人情報保護の仕組みを組み込んでおく考え方をプライバシーバイデザインという。