パソコンやインターネットを安心して使うためには、情報セキュリティ対策が不可欠です。しかし「情報セキュリティ」という言葉を聞いたことがあっても、その定義まで詳しく知っている人は少ないでしょう。情報セキュリティの正しい定義と、構成する7つの要素について解説します。
情報セキュリティとは
「情報セキュリティ」とは、情報セキュリティマネジメントシステム(ISMS)の日本語版である【JIS Q 27000】において、情報の「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」の3つの要素を維持することと定義されています。3つの頭文字を取り、「情報セキュリティの“CIA”」と呼ばれることもあります。
「機密性」とは、許可された者だけが情報にアクセスでき、使えるように設計されていることを表しています。
「完全性」とは、情報の改ざんや破壊が行われておらず、内容が正しい状態に保たれていることを表しています。
「可用性」とは、情報が必要な時に安全に使用できる状態が保たれていることを表しています。
情報セキュリティは、この3要素を全て維持できなければ不十分です。言い換えると、この3要素をチェックすることで、情報セキュリティ対策をもれなく実施できます。
情報セキュリティで保護される対象を「情報資産」と呼びます。情報資産には個人情報や会計情報のようなコンピュータで扱われるものだけでなく、紙に記録されている情報や、人の記憶なども含まれます。
情報資産に悪影響を及ぼす要因を脅威と呼び、脅威が発生する可能性を「リスク」と呼びます。企業は脅威を分析し、リスクを低減するために情報セキュリティを構築します。
情報セキュリティの追加要素
情報セキュリティの定義には、3要素(CIA)の他にも、「真正性(authenticity)」「責任追跡性(accountability)」「信頼性(reliability)」「否認防止(non-repudiation)」の4つの特性を維持することがあると、【JIS Q 27000】に注記されています。
「真正性」とは、対象となる情報が本人によって作成されたものであることを確認するために、作成者の権限で誰が作成したのか明確にすることです。一言で言えばなりすましを防ぐということです。
「責任追跡性」とは、情報に対する操作と、操作したユーザを特定し証拠を残して追跡できる特性のことで、操作ログなどを記録することです。
「信頼性」とは、情報を管理しているシステムが正しく動作し、期待通りの結果を得られることを表しています。故障などが発生しないことも信頼性の一つです。
「否認防止」とは、情報が変更された場合、変更した本人にそのことを否認されない特性のことを表しています。たとえば情報にデジタル署名を付加することで実現できます。
以上のように情報セキュリティは7つの要素から成り立っています。情報セキュリティ対策においては、この7つの要素についてバランスを考えながら必要な対策をとることが重要です。
