情報セキュリティとは
情報セキュリティとは、企業や組織の重要な財産である情報(情報資産)を守り、維持することです。
組織が守るべき財産には、人、物、金、情報などがあり、これならの情報資産の安全を確保し、維持するのが情報セキュリティの役割です。
情報セキュリティの3要素
情報セキュリティの主な特性には「機密性」「完全性」「可用性」があり、情報セキュリティの3要素と呼ばれています。
機密性(Confidentiality)
機密性とは、情報資産を正当な権利を持った人だけがアクセスできる状態にしておく特性です。
次の図は機密性のイメージ例です。
情報資産へのアクセスを明確に区別し、許可された者(権限者)だけが情報にアクセスできるようにコントロールします。
コンピュータ内で実行されるプログラムやコマンドなども属性を決めて、許可されたユーザーやシステムによって実行されるように制御する必要があります。
完全性(Integrity)
完全性とは、データが正確であり、改ざんなどがおこなわれていない状態を保証する特性のことです。
次の図は完全性のイメージ例です。
完全性が確保されていないと、処理結果に矛盾や異常が発生します。そのため、完全性の確保はあらゆる情報システムにとって必須です。
例えば、デジタル署名はデータの正当性、改ざんされていないことを証明する技術であり、完全性を高める手段です。
可用性(Availability)
可用性とは、情報システムが必要なとき、いつでも利用可能な状態を維持する特性です。
機器の故障やシステムダウンなどで可用性が損なわれてしまうと、組織全体の業務が停止してしまい、生産性の低下や機会損失につながる恐れがあります。
次の図は可用性のイメージ例です。
機密性や安全性が高いシステムであっても、頻繁にシステムが停止するようでは使いものになりません。そのため、システムの二重化、バックアップなどの対策を実施して可用性を確保します。
終わりに
情報セキュリティの3要素「機密性」「完全性」「可用性」は、高いセキュリティを確保するために必要不可欠な特性です。
ただ、システムによって優先順位は異なります。
例えば、機密情報を取り扱うシステムでは「機密性」、災害時に使用するシステムでは「可用性」が重要です。
機密情報を取り扱っているにもかかわらず、他人の情報資産が閲覧できたら使い物になりません。また災害時に使用するシステムなのに、災害によりシステムが停止していたら使い物になりません。
このように情報資産の価値や利用者のニーズなどを正しく認識し、それに応じて「機密性」「完全性」「可用性」を適切なレベルで確保・維持することが重要です。