JIS Q 27002で定義されている情報セキュリティとは、情報の機密性、完全性、可用性という3つの要素を維持することを示します。膨大な情報処理が求められる現代において、情報セキュリティの確保は必要不可欠です。
そこで今回は、情報セキュリティについての定義となる3つの基本要素を解説し、情報セキュリティ確保に対して脅威となる3つのカテゴリとその対策を紹介していきます。
情報セキュリティとは
最初に情報セキュリティという用語について、意味や定義などを分かりやすく解説していきます。情報セキュリティに対する理解を深め、重要な情報を保護する必要性とその意識を高めていきましょう。
情報セキュリティという概念
現代社会において、私たちはインターネットを通じて情報やデータを入手・処理し、さまざまな情報を利活用しています。この日常に広く浸透した社会の在り方を情報社会といいます。
情報社会が進むにつれて、情報の伝達と処理が迅速になったのはコンピューターやネットワーク技術の発展のたまものです。しかし効率的に情報を入手したり広めたりできる一方で、悪意ある人物による情報の悪用が世界中で大きな問題となっています。
また、悪意はなくても、システムの故障やヒューマンエラーが原因で、必要なときにシステムが利用できなかったり、重要な情報が漏洩してしまうなどの事故が起こることもあります。より手軽な仕組みで情報に触れられるようになったからこそ、情報を扱う際には厳重なセキュリティが現代では求められているのです。これを情報セキュリティといいます。
ちなみに似た言葉としてサイバーセキュリティという言葉があります。サイバーセキュリティは、Webサイトの改ざんや情報窃取、コンピューターウイルスの拡散など、サイバー攻撃や犯罪などに対するセキュリティ対策を示し、考え方としては情報セキュリティの一部になります。情報セキュリティは、情報という資産を守るための包括的な保護の取り組みという概念としてとらえておくと分かりやすいでしょう。そのため、情報セキュリティは、サイバー空間以外の情報の保護についても適用される考え方になります。
JISの定義する情報セキュリティ
日本の産業製品の規格を定める「JIS」では、情報セキュリティを次のような要素で定義づけています。
まず、JIS Q 27002での3要素は以下の通りです。
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
これらの3要素を略してCIAと呼称することがあります。そしてこの3要素に対して、改訂されたJIS Q 27001では4つの要素を加えた7要素で情報セキュリティを定義づけています。加わった4要素は以下の通りです。
- 真正性(Authenticity)
- 責任追跡性(Accountability)
- 否認防止(Non-repudiation)
- 信頼性(Reliability)
これらの要素は、情報セキュリティの必要性や対策の方法を知るために重要な役割を果たすものです。JIS Q 27002の3要素については、次項で詳しく解説していきます。
情報セキュリティの3つの要素
ここからは、セキュリティへの意識改革に重要な役割を果たす「情報セキュリティの3つの要素」について解説していきます。
機密性
情報セキュリティの3要素の一つ目は、「機密性」(Confidentiality)です。
機密性とは、情報を外部に漏らさないようにアクセス制限などを徹底し、保護・管理することです。具体的には、情報には権限を持つ管理者のみがアクセスできるようになっていて、誰もが情報を参照できたり、取り扱えるような状態になっていないことを示します。この機密性が保持されていれば、第三者や権限のない者が重要情報を確認することはできません。
個人にIDとパスワードを付与し、必要なユーザーや管理者のみにアクセスを制限することや情報参照や更新処理などの権限を厳重にすることで情報漏洩を防ぎます。
完全性
情報セキュリティの3要素の二つ目は、「完全性」(Integrity)です。
完全性とは、情報の改ざんや破損を許さないことを示します。情報は、あるべきかたちで最新かつ正しい状態が保持されていなければいけません。完全性を失うことで、その情報は価値が低くなってしまったり、偽の情報になってしまいます。
近年のセキュリティ事故の一つとして、Web サイトの改ざんなどが大きな問題となっています。改ざんの被害に遭うことで情報の完全性が失われてしまい、信用の失墜につながるなど大きな損害が生じることがあります。
可用性
情報セキュリティの3要素の三つ目は、「可用性」(Availability)です。
可用性とは、必要なときに必要な情報を参照したり、更新するなど、情報の利活用ができる状態を維持することです。非常時であっても情報が利用できるような施策が求められます。
サイバー攻撃を受け、システムダウンなどの状況に追い込まれてしまうと、必要な情報を参照したり、更新することができなくなります。可用性を確保するためのデータバックアップ、システムの冗長構成、トラブルが起きたときの早急復旧などが求められます。
情報セキュリティへの脅威と対策
次に、情報セキュリティに対する脅威とその対策について見ていきましょう。脅威は三つのカテゴリに分類されます。ここでは、カテゴリごとに脅威と対策については解説していきます。
技術的な脅威と対策
一つ目の脅威は、技術的な脅威です。ソフトウェアやネットワークにおいて発見される脆弱性や悪意を持って開発されたプログラムなどによって脅威が派生していきます。例として、Webサイトからの情報窃取や改ざん、マルウェア拡散などがあげられます。
技術的な脅威は、現代のIT社会において決して見過ごせない問題となっています。脆弱性を狙ったサイバー攻撃は日々増加しており、セキュリティの網をかいくぐる巧妙な攻撃も増えています。
被害を受けないようにするためには、セキュリティソフトの導入や脆弱性対策のためのセキュアプログラミング、システムアップデートなどが重要となります。
人的な脅威と対策
二つ目の脅威は人的な脅威です。人によるオペレーションミス、情報漏洩などが一例です。メールやFAXを誤送信だけでなく、個人アカウントのSNSで企業の重要情報を公開するなどのセキュリティ意識の欠如、故意による情報漏洩など、さまざまなケースがあります。
人的な脅威は、システム側で対処していても防ぎきるのが難しいのが実情です。そのため、人為的ミスを起こさないよう、従業員に対する情報セキュリティ教育や啓蒙が重要な対策の一つとなります。システム的な対策としては、証跡やログ管理を徹底することで、故意によるセキュリティ事故の抑止につなげる効果があります。
物理的な脅威と対策
三つ目の脅威は、物理的な脅威です。物理的な脅威は、各種デバイスや書類を紛失してしまったり、誤ってシュレッダーにかけてしまうなど、物理的に破損してしまうことを指します。地震や台風、洪水などの天災も物理的な脅威になります。システムやネットワークなどのハードウェアそのものに障害が発生した場合も物理的な故障、脅威として扱われます。
自然災害が多いと言われる日本国内においては、天災が情報の破損につながる可能性は決して低いものではありません。しかしながら、物理的な脅威はそう頻繁に起こることではないため、対策が軽視されがちであるのも事実です。
浸水によってパソコンが壊れたり、台風による停電でシステムが停止したりするなど、非常時にはあらゆる脅威が想定されます。バックアップを定期的に行うこと、安全性を考慮したロケーションの選択、リスク管理として重要情報を扱う機器を分散するといった対策が求められます。
WebサイトのセキュリティにはWAF導入を
情報セキュリティは、情報社会において誰もが意識しておくべき概念の一つです。情報セキュリティは機密性、完全性、可用性の要素によって定義づけられます。アクセス権限を持つ者だけが情報の取り扱いができること、データの改ざんや消失を許さず正しい状態が保たれていること、必要に応じて必要なデータの利活用できること、これらを維持することで情報セキュリティが保たれます。
Webサイトのセキュリティでは、情報の窃取や改ざんを防ぐソリューションとして、WAFが有効です。EGセキュアソリューションズが提供する「SiteGuardシリーズ」を導入することで、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することができます。Webセキュリティをご検討の際は、EGセキュアソリューションズにご相談ください。
- カテゴリ:
- 入門
- キーワード:
- セキュリティ対策