PdM、PM、POなどの管理者側の業務をしていると、どうしても
「基本的なITの知識不足が足枷になっている‥」
という実感があったので、基本情報処理技術者の勉強をしていこうと思います。
ただの暗記ではなくきちんと使える知識として。
この記事は自分用の備忘録です。
情報セキュリティの3要素
機密性(confidentiality)
- 許可された利用者のみが必要な情報にアクセス可
- 誰にでもアクセス権付与しちゃうのは機密性が低い
完全性(integrity)
- 改竄されず、過不足のない正確なデータが保持されている状態
- 変更履歴を残さないシステムは完全性が低い
- 便利だけど編集権限与えすぎるのもよくないということ
- 変更履歴を残さないシステムは完全性が低い
可用性(availability)
- データが必要な時にいつでもアクセス可能で、かつ使用できる状態
- オンプレだと停電でアウトだから、クラウド化は可用性が高い
情報セキュリティの新しく追加された4要素
信頼性(Reliability)
- データやシステムが期待通りの結果を出すこと
- バリデーションが何もないシステムは信頼性が低い
- エラーハンドリングもきちんとしないといけないな
- バリデーションが何もないシステムは信頼性が低い
真正性(Authenticity)
- データにアクセスする人がアクセス許可された者であること
- 日本語からは連想しづらいけれど、Authって書いてるからそういうこと
- 二段階認証、デジタル署名大事
- 日本語からは連想しづらいけれど、Authって書いてるからそういうこと
否認防止(non-repudiation)
- システムで取り扱うデータが後から否定されないように証明をしておくこと
- 悪い人がハッキングした時に「俺はやってないぜ!」と否認されないようにログを取っておく必要がある
- とはいえアクセスログって多重VPNでノーログポリシー使われたらもう特定できないとか聞いた気が‥謎
- 悪い人がハッキングした時に「俺はやってないぜ!」と否認されないようにログを取っておく必要がある
責任追跡性(Accountability)
- 情報やデータを使った人の動きを追跡すること
- 否認防止と責任追跡性はつなげて理解した方がよさそう
| 否認防止 | 責任追跡性 | |
|---|---|---|
| 目的 | 後から行動を否認されないようにする。「俺じゃないっす!」を封じる。 | 誰が何を行ったかを記録し、責任を明確にする。「これ、誰がやらかしたん?」を特定できるようにする。 |
感想
機密性や完全性を重視しつつ、権限与えたりするときは認証をつけたりログを取れる状態にする(否認防止・責任追跡性、真正性)ことが大事なんだなぁ。
参考