情報セキュリティ用語解説①
情報セキュリティとは
- 「情報の機密性、完全性及び可用性を維持すること。さらに,真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある」(JIS Q 27000ファミリー参照)
- 簡潔に言うと企業/組織の資産である情報(情報資産)のセキュリティを確保し維持すること
- 機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)は英単語の頭文字からCIAと呼ばれる
機密性とは
- 権限者/無権限者を明確に区別し、情報資産へのアクセス権を持った人だけが使用できるようにする
機密性が損なわれると...
- 情報漏洩、情報不正利用(クレカ等)、データ改ざん・削除による完全性の損失、信頼性の欠落が起きる
対策
- アクセス制御、認証の実施
- コンピュータ内で実行されるプログラムやコマンドなども属性を決め、適切に実行されるよう制御が必要
- パスワードなども安易なものにせず、メモなどできる限り残さない
機密性が必要な情報
- 個人情報、顧客情報、開発情報等
完全性とは
- データの正当性・正確性・網羅性・一貫性を維持する特性
- 何かしらのデータ処理(入力や編集・削除・保存等)において欠落や重複、改ざんなどのトラブルが発生せずに正しく処理されること
完全性が損なわれると...
- 処理結果に矛盾や異常が発生し、システムとして成り立たなくなる
- IoTが普及する現在では、コネクテッドカーや医療機器など人命にかかわる可能性もある
対策
- データ暗号化、ログ取得、バックアップの実施
可用性とは
- システムが必要な際、いつでも正常なサービスを提供できる状態を維持する特性
- いくら機密性や完全性が保たれていても頻繁にシステムダウンやレスポンスが恒常的に遅いなどがあるような場合は可用性が低いといえる
可用性が損なわれると...
- 顧客の信頼損失や機会損失、作業効率の低下に繋がる
対策
- ネットワーク/設備の二重化、システムリソースの十分な確保、バックアップ、定期保守、UPS等
- 予備設備に対してもセキュリティ対策を怠らない必要がある
真正性とは
- 利用者、システム、情報などが「正しい」ことを確実にする特性
- 例えば、なりすましなどがないように通信相手が本人であることを証明
真正性が損なわれると...
- 本人である確証が得られず、なりすましが行われる可能性がある
- 人だけでなくウェブサイトなどでも正しさが証明できず、悪意あるサイトの可能性がある
対策
- 認証、デジタル署名
- 認証であれば、多段階認証よりも多要素認証が有効
- セキュリティキーの紛失などに気を付ける必要がある
責任追跡性とは
- 利用者とシステムなどの動作について、一意に追跡できることを確実にする特性
- システムやデータへの脅威が何であるか、どのような行為が原因なのかを追跡する
責任追跡性が損なわれると...
- インシデント発覚時に原因/発生者等が分からない
対策
- 情報資産の取扱記録や入退室記録、システムへのアクセス状況や動作状況のログ管理
- 利用者等を一意に識別できる仕組みが必要
否認防止とは
- 事象発生後に事象発生者が否認できないよう証明する特性
- 真正性、責任追跡性を確保することと証拠の完全性を確保する必要がある
否認防止が損なわれると...
- 特定の対象者が行ったことと証明することができなくなる
対策
- デジタル署名、タイムスタンプ
- 上記の完全性を保つ必要がある
信頼性とは
- データやシステムの利用動作が意図通りの結果であることを証明する特性
信頼性が損なわれると...
- 意図しない処理実行や脆弱性をついた攻撃を受ける可能性がある
対策
- 信頼性の高い機器や部品を用いてシステム構築を行い、保守点検を確実に行う
- テスト強化などによってバグや脆弱性を発見し迅速に対応することも重要
- 設計大事
まとめ
- 情報セキュリティで大切なことは、情報の価値や性質、利用者ニーズを理解すること
- それに応じたそれぞれの特性を適切なレベルで確保・維持することである
- 例:機密情報であれば可用性を犠牲にしても高い機密性を確保することが必要な場合があるなど