情報 セキュリティ 3 要素。 情報セキュリティの3要素とは?社員が知っておきたい基本と事例

ISMS概論|「情報セキュリティの三大要素」とは

情報 セキュリティ 3 要素

もくじ• 情報セキュリティとは 情報セキュリティとは、狭義の意味だと、PCやサーバー等のコンピューター内の情報や、コンピューター間で通信される情報を守ることを指します。 一方で、広義の意味だと、地震や火事などの災害(ハザードリスク)による情報損失を防ぐことや、コンピューターではなく紙によって保持されている情報を守ることを指すこともあります。 さらに言うと、他者の情報への攻撃に利用されることの防止も情報セキュリティではないかと、私は考えています。 例えば、自分のPCがボットウィルスに感染したことによって他者へのDDOS攻撃の踏み台にされてしまったり、メールアカウントが乗っ取られたことによって他者へスパムメール送信の踏み台にされてしまったりすることがあげられます。 仮に、自分に直接被害や影響がなかったとしても、それは情報セキュリティの範囲でしょう。 場合によっては、他者への攻撃の首謀者として警察に容疑をかけられる可能性もあります。 情報セキュリティの3要素(情報のCIA) 情報セキュリティは、日本工業規格のJIS Q 27001:2006に、「情報の機密性、完全性、可用性を維持すること」と定義されています。 機密性(Confidential)、完全性(Integrity)、可用性(Availability)は、情報セキュリティの3要素、または、英語の頭文字を情報のCIAと呼ばれています。 具体的には、JIS Q 13335-1:2006に定義されています。 機密性(Confidential) 情報の機密性とは、ある情報にアクセスを認められた人だけが使用できるようにすることです。 機密性を確保することの具体例としては、パスワードを設定することで権限の無い人のアクセスを制限することです。 また、広義の意味で情報セキュリティをとらえる場合は、不要になった紙の情報を、シュレッダーや溶解処理業者へ出すことも、機密性の確保の一つになります。 完全性(Integrity) 情報の完全性とは、情報が破壊、改ざん、削除されないようにすることです。 完全性を確保することの具体例としては、デジタル署名です。 デジタル署名は、データが通信中に改ざんされていないことを証明するための仕組みです。 身近なところでは、httpsで始まるサイトへのアクセス(TLS)で使用されています。 また、ファイルサーバー上の各ファイルの更新や削除を限られた人にだけ許すということも完全性の一例です。 可用性(Availability) 情報の可用性とは、情報を必要な時に使用できるようにすることです。 可用性を確保することの具体例としては、アクセスの集中でサイトが見れなくなるのを防止するためにシステムを2重化することや、情報の破壊に備えて定期的なバックアップを取得することがあげられます。 トレードオフの関係に注意 注意すべき点は、機密性と可用性、完全性と可用性はトレードオフの関係になりやすいという点です。 例えば、機密性を高めるため、パスワードの頻繁な変更をルールとしたり、英字と数字と記号を必ず混ぜるといったルールとしたりすると、パスワード忘れが発生しやすくなるため、可用性は低下します。 また、完全性を高めるため、ごく一部の人にだけ更新権限を与えていると、その担当者が不在の時に作業ができなくなってしまい、可用性は低下します。 何でもかんでも機密性や完全性を重視すれば良いというわけではなく、情報セキュリティ対策を講じる際は、3要素のバランスが大切になります。 まとめ 情報セキュリティとは、3要素(情報のCIA)である機密性、完全性、可用性を確保することです。 注意すべきは、機密性と可用性、完全性と可用性はトレードオフの関係になることがある点です。 単純に情報を守ることだけを重視するだけでは、業務の運用に支障をきたしてしまうことがあります。 3要素のバランスが大切です。

次の

www.mytravel.co.jp:高いセキュリティレベルを誇る二要素認証とは

情報 セキュリティ 3 要素

もくじ• 情報セキュリティの7要素 日本工業規格のJIS Q 27002:2006では、情報セキュリティに基本の3要素(情報のCIA)である機密性、完全性、可用性に加えて、真正性(Authenticity)・責任追及性(Accountability)・否認防止(Non-repudiation)・信頼性(Reliability)のような特性を含めてもよいとされています。 具体的には、JIS Q 13335-1:2006に定義されています。 真正性(Authenticity) ある主体または資源が、主張通りであることを確実にするための特性。 真正性とは、情報の発信者や情報そのものが本物であることを明確にすること、なりすましや偽の情報ないことが証明できることです。 真正性を確保する具体的な技術としてデジタル署名があります。 デジタル署名を利用することで、情報の発信元が本物であることを証明することができます。 また、一方向ハッシュ関数を利用することで、情報そのものが本物であることを証明することができます。 責任追及性(Accountability) あるエンティティの動作が、その動作から動作主のエンティティまで追跡できることを確実にする特性。 責任追及性とは、ある行為が誰によって行われたかを明確にすることです。 例えば、アクセスログや操作履歴のログを保管し、情報の作成や変更が誰によって行われたか記録することです。 否認防止(Non-repudiation) ある活動や事象など起きたことが、後になって否認されないように証明するための能力。 否認防止とは、否認されないように証明することです。 否認防止を実現する具体的な技術としてデジタル署名があります。 デジタル署名を利用することで、情報の発信元が本物であることを証明することができますが、裏返すと発信元が他者であったと否認することはできないということになります。 ちなみに、情報セキュリティの6要素という場合もあり、その場合は否認防止は責任追及性の中に含めて考える。 信頼性(Reliability) 意図した動作、結果に一致する特性。 信頼性とは、情報システムの処理が、欠陥や不具合なく確実に行われる特性のことです。 システムを安心して使うことができることを実現するための特性ですね。 具体的には、システムのバグをなくし、システムの想定外の動作を防ぐことがあげられます。 また、システムを構築するハードウェアやミドルウェアに実績のある製品を利用することも信頼を確保する一例です。 まとめ 情報セキュリティの7要素として、基本の3要素に加えた4つの要素を見てきました。 追加された4要素は、3要素と比較して、情報を利用する際や、複数の関係者の間でやりとりを行う際に、問題となることを防ぐための特性というのが強いと感じます。 情報の利用の仕方が多様化し、情報セキュリティの守備範囲が広がっていることの表れでしょう。 追加された4要素もしっかりとおさえておきましょう。

次の

情報セキュリティの3要素とは│PSI

情報 セキュリティ 3 要素

また、クラウドサービスの利用、オンライン会議ツールの導入など、さまざまなところで働き方が変わっているはずだ。 一方で、適切なセキュリティ対策を講じることは、ますます重要になっている。 たとえば、テレワークでは、感染の可能性のある個人のPCから企業ネットワークにアクセスすると、サイバー犯罪者にとっては企業の内部情報にアクセスする踏み台になりえる。 セキュリティを考慮しないと、組織や従業員を、マルウェア攻撃、個人情報の盗難、ランサムウェアなどのセキュリティリスクにさらす可能性があることは理解しておきたい。 一般的に、企業は、組織内でサイバーセキュリティやプライバシー保護などに関するガイダンスを採用しているものだろう。 しかし、在宅勤務などを含めた、新しい働き方の導入に際しては、それらのポリシーがどのように摘要するかを確認する必要がある。 業務にあたっては、どのようなデバイスが使用可能なのか、どのようなクラウドサービスを利用するかどうかは、重要な問題になる。 曖昧にしたり、個人任せにしたりするのではなく、各人がしっかり情報セキュリティを見直し、確認し合うことが肝心だ。 では、そのような新しい情報セキュリティをチェックするにあたり、どこに気をつけるべきだろうか? 情報セキュリティチェックの視点を学ぶ 情報セキュリティを語るうえで、基本となる3要素がある。 情報セキュリティの3要素とは、機密性(confidentiality)・完全性(integrity)・可用性(availability)を指す。 例を挙げると、機密性とは漏洩対策ができている状態か、完全性とは改ざんなどがされずに正しい情報であるか、可用性とは使いたいときに使える状態であるかを指す。 組織内のそれぞれの情報資産について、これらを満たした運用を心がけよう、ということだ。 現在では、機密性・完全性・可用性の3つに加えて、真正性・責任追跡性・信頼性・否認防止が追加され、7要素となっている。 スタッフ各個人に、これらの視点からセキュリティチェックをしてもらうことは、セキュリティ意識向上やリスクの確認にも役立つはずだ。 とくに、職場ではなく、在宅での業務が増えている現状は、新型コロナウイルスの感染が収束しても、多くの企業で働き方が変わっていくだろう。 情報セキュリティの何に気をつけるべきか、今のうちに見直したほうがよい。 今回は、McAfee Blogの「情報セキュリティの3要素とは?社員が知っておきたい基本と事例」を紹介するので、これを機に情報セキュリティの基礎を学んでほしい。 現在では、機密性・完全性・可用性の3つに加えて、真正性・責任追跡性・信頼性・否認防止が追加され、7要素となっています。 概念的な言葉でアカデミックな印象があるかもしれませんが、セキュリティ対策を網羅的にチェックできるフレームでもあります。 経営層から一般社員まで情報資産を扱うスタッフ各個人に、これらの視点からセキュリティチェックをしてもらうことは、セキュリティ意識向上やリスクの確認にも役立ちます。 目次 1.情報セキュリティ3要素とは 2.3要素の具体例 2-1 機密性 2-2 完全性 2-3 可用性 3.セキュリティの7要素 4.情報資産を3要素・7要素の視点から考察する 1.情報セキュリティ3要素とは 情報セキュリティの3要素とは、ISMS(Information Manegement Security System)の基本と言われ、機密性(confidentiality)・完全性(integrity)・可用性(availability)を指し、セキュリティのCIAとも呼ばれます。 情報セキュリティの3要素についてJIS Q 27001:2006では以下のように定義しています。 ・機密性:認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性 ・完全性:資産の正確さ及び完全さを保護する特性 ・可用性:認可されたエンティティが要求したときに、アクセス及び使用が可能である特性 広い概念なので抽象的な印象がありますが、例を挙げると、機密性とは漏洩対策ができている状態か、完全性とは改ざん等がされずに正しい情報であるか、可用性とは使いたいときに使える状態であるかを指し、組織内の各情報資産についてこれらを満たした運用をしていきましょう、ということです。 情報セキュリティマネジメントではこの3要素をバランスよく確保した運用が重要になります。 また、適切に権限管理をして使える状態であっても、改ざんされた偽物の情報(完全性を欠く)では意味がありません。 3要素のようなフレームでチェックしておけばセキュリティの運用上、漏れが出たり、バランスを欠いたりすることなく情報の活用をすることが期待できます。 3要素の具体例 家族が接続しているすべてのデバイスとそのセキュリティの一覧を作成することは、ドアの施錠や煙探知器を電池切れにしないのと同じくらい重要です。 家族の安全はそれに依存しています。 すべてのデバイスに包括的なセキュリティソリューションをインストールすることを検討してください。 これにより、マルウェア、ウイルス、フィッシング攻撃から家族を保護し、悪意のあるWebサイトへの接続時に警告されるようになります。 セキュリティチェックの一環として、IoT製品、テレビ、おもちゃなど、すべての接続されるデバイスのソフトウェアを更新してください。 2-1 機密性 アクセスを認められた人だけが決められた範囲内で情報資産にアクセスできることを要求しています。 管理者は組織内のユーザーごとにアクセス権限を区別して、権限を持つ者だけが情報資産を使えるように管理します。 また、「情報を使用不可又は非公開にする特性」としており、使用させないということだけではなく、漏洩させないことも要求しています。 例えば、フォルダのアクセス権限をプロジェクト関係者に限定する、ファイルにパスワードをかけて関係者しか開くことができない、あるいは使えないようにするといったことは機密性の要求に応えるものです。 2-2 完全性 情報資産の内容が正しい状態であること、情報処理の方法が正しい状態であることを指し、正確さ(間違っていない)・完全さ(不足していない)を要求しています。 例えば、WEBサイトの改ざん・データの改ざんといった被害にあった情報資産は完全性を欠く代表的な例です。 ・Iotの普及と完全性 完全性はデータが正確であることを要求しています。 Iotの普及により、自動車や家電、医療機器に至るまでネットワーク化が進んでいます。 このようなデータが完全性を欠くとどのようなことが起こるでしょうか。 例えば、自動運転をネットワークで制御していたが、データが誤っていたため、誤った運転の指示が出てしまう、医療機器と連携したデータに誤りがあり、症状とは関係ない治療の指示が出てしまうようなことも起こりえます。 便利なIotも情報セキュリティの完全性を欠くと全く使い物になりません。 完全性を担保することは非常に重要なことです 2-3 可用性 使用可能性のことで必要な人が必要な時に使える状態であることを要求しています。 例えば、システムの冗長化やデータのバックアップなどが適正になされておらず、停電や災害等の有事の際にデータにアクセスできなくなる、サービスの提供ができなくなるのは可用性を保てていないということになります。 ・テレワークと可用性 働き方改革のもと、テレワークが徐々に普及し、社外から社内環境にアクセスするケースも増えてきました。 社外ネットワークから社内ネットワークに接続する際、可用性が担保されていない場合、社外から必要な情報にアクセスができない事態も起こります。 ・ランサムウェアと可用性 ランサムウェアに感染するとデータファイルなどが勝手に暗号化処理され、読みとれない状態になり、「ファイルの復元」を条件に金銭を要求するポップアップウィンドウが表示されます。 こうなってしまうとその情報資産は可用性が保ててない状態といえます。 3.セキュリティの7要素 かつての情報セキュリティは上記で見てきた3大要素を見ていましたが、1996年に真正性・責任追跡性・信頼性が、2006年に否認防止が追加されました。 ・真正性(authenticity) 「ある主体または資源が、主張どおりであることを確実にする特性。 真正性は、利用者、プロセス、システム、情報などのエンティティ に対して適用する」で、本人を認証するシステムを備えていることなどを指します。 ・責任追跡性(accountability) 「あるエンティティの動作が、その動作から動作主のエンティティ まで一意に追跡できることを確実にする特性」で、データベースやネットワークのアクセスログを取得しておき、誰が・どの情報に・いつ・どのような操作を行ったかを追跡できるようにすることです。 ・信頼性(reliability) 「意図した動作及び結果に一致する特性」で、情報システムを稼働させたとき、故障や矛盾がなく、指定された達成水準を満たしていることを指します。 ・否認防止(non-repudiation) 「ある活動又は事象が起きたことを、後になって否認されないように証明する能力」でデジタル署名等により、文書作成者がその文書を作成したのはその人本人であるという事実を否定できないようなことを指します。 4.情報資産を3要素・7要素の視点から考察する 情報セキュリティというと機密性のイメージが強いかもしれませんが、組織内で活用している情報資産は、漏洩のリスク(機密性の担保)、改ざんのリスク(完全性の担保)、使えなくなるリスク(可用性の担保)等を検証し、バランスよく運用していく必要があります。 自組織の情報資産や組織内の各個人が普段接している情報資産について、各要素がどのように保たれているのか、これらの要素を満たさなくなった場合に、自分の業務、自分の組織、あるいは顧客にどのような影響があるのかを考察してみましょう。 セキュリティ担当者にとっては抜け漏れのチェック、情報資産を扱う社員にとってはセキュリティ意識を高めるために役に立つでしょう。 組織の情報セキュリティは新入社員からマネジメントまで、情報資産を扱う全スタッフが、何を・どのように守るのかを理解することが大切です。 著者:マカフィー株式会社 マーケティング本部.

次の