本記事では基本情報技術者試験にも出題される情報セキュリティの基礎について解説しています。
目次は以下の通りです。
情報セキュリティマネジメントシステム(ISMS)とは
ISMSは、組織における情報資産のセキュリティを適切に管理するための枠組みや仕組みを提供する、情報セキュリティ管理のための体系です。情報セキュリティの3要素をバランスよく管理する必要があります。
なので、下では情報セキュリティの3要素、細かい区分だと7要素あります。
機密性
「confidentiality(機密性)」は、情報セキュリティの3要素の一つであり、限られた人だけがデータにアクセスできるように制限することを指します。感覚的はどれくらいセキュリティ的に安全なのかという意味合いで使われます。
完全性
「integrity(完全性)」は、情報セキュリティの3要素の一つであり、データの正確性と一貫性を保ち、不正な改ざんから守ることが求められます。どれくらい改ざんの危険性が薄いかという意味合いで使われます。
可用性
「availability(可用性)」は、情報セキュリティの3要素の一つであり、利用者が必要なときに情報システムやデータに迅速にアクセスできるようにすることが求められます。
真正性
真正性とは、だれが情報提供したのかを明記されることが求められます。情報にアクセスする企業や個人がアクセス許可された者であることを確実にし、本人認証システムを用いて主張通りの本物であることを確認することが含まれます。
信頼性
信頼性とは想定した結果が得られることが求められます。データやシステムを利用した動作が故障や矛盾なく、意図した通りの結果を得られることが求められます。
責任追跡性
責任追跡性とは企業の動きを追跡することが求められます。具体的にはログや履歴などを取得することで後々振り返ることができるようにします。
否認防止
否認防止とは後々に情報が否定されないように証明することが求められます。デジタル署名などを用いて、文章の作成者が本人であることを後から否定できないようにし、情報の改ざんや利用に関しても本人が否認できないようにするために、ログを取るなどの措置が否認防止に役立ちます。
バランスが大事
上の要素はどれかがすごく高ければいいとかではなく、すべてにおいてバランスがいい必要があります。例えば機密性のみを高くするなら、サイトのログインに必要なパスワードを5回とかにすればいいですが、その分すごく使いにくいことがわかると思います。これは可用性が低いので、多少機密性をさげても使いやすくしたほうがいいといえます。
まとめ
本記事のポイントを以下にまとめます。
・ISMSは情報資産のを適切に管理するための仕組み
・大きくいうと3要素、細かく区分すると7要素ある
・情報セキュリティの要素はすべての要素(特に3要素)でバランスととれている必要がある
コメント