情報セキュリティ
情報セキュリティの説明
情報セキュリティ(じょうほう-)とは、情報の機密性、完全性、可用性を維持すること。
情報セキュリティの定義
通常の定義
情報セキュリティは、JIS Q 27002(すなわちISO/IEC 27002)によって、情報の機密性、完全性、可用性を維持することと定義されている。それら三つの性質の意味は次のようである。
* 機密性 (confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること
* 完全性 (integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること
* 可用性 (availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること
これら三つを、英語の頭文字を取って、情報のCIAということもある。
JIS Q 27001 では、これらを次のとおりに定義している。これらは、ISO/IEC 27001 の定義を翻訳したものである。ここで、エンティティとは、団体などを指す。
* 情報セキュリティ (information security): 情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい。
* 機密性 (confidentiality): 許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性
* 完全性 (integrity): 資産の正確さ及び完全さを保護する特性
* 可用性 (availability): 許可されたエンティティが要求したときに、アクセス及び使用が可能である特性
拡張した定義
上記の情報セキュリティの定義は、もともとISO/TC 97/SC 16が1989年に、OECDが1992年に与えたものである。その後、ISO/IEC JTC 1/SC 27が1996年に三つの性質(真正性、責任追跡性、信頼性)を付け加え、さらに2006年に一つの性質(否認防止)を加えている。それら四つの特性の意味は、次のとおりである。類似の語句として「情報保証」ともいわれる
* 真正性 (authenticity): ある主体又は資源が、主張どおりであることを確実にする特性。真正性は、利用者、プロセス、システム、情報などのエンティティに対して適用する。
* 責任追跡性 (accountability): あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できる事を確実にする特性。識別認証ともいう。
* 否認防止 (non-repudiation): ある活動又は事象が起きたことを、後になって否認されないように証明する能力
* 信頼性 (reliability): 意図した動作及び結果に一致する特性
真正性は、「情報システムの利用者が、確実に本人であることを確認し、なりすましを防止すること」である。
JIS Q 27002 (ISO/IEC 27002) では、情報セキュリティを「情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい。」と定義している。つまり、JISに従う限り、これら四つを情報セキュリティの特性に含めなくてもよい。
用語
情報セキュリティに関して使用される次の用語(概念)がある。
* リスク (risk): リスクとは何かしらの損失を発生させる事態や状況への可能性のことである。また、考えられる脅威を分析した結果として認識される損失発生の可能性(リスク因子)を指すこともある。リスクの分析をリスク分析という。
* 脆弱性 (vulnerability): 脆弱性とは、リスクを発生させる原因のことである。
* 脅威 (threat): 脅威とは、脆弱性を利用 (exploit) して、リスクを現実化させる手段のことである。自然災害も含まれる。
* インシデント (incident): 発生する可能性の高い脅威。
* 対抗策 (countermeasure): 対抗策(対策)とは、脅威がリスクを現実化することを抑止(最小化)しようとする手段のことである。
JIS Q 27001 では、これらを次のとおりに定義している。これらは、ISO/IEC 27001 の定義を訳したものである。
* リスク (risk): 事象の発生確率と事象の結果との組合せ。
* 脆弱性 (vulnerability): 一つ以上の脅威がつけこむことができる、資産または資産グループがもつ弱点。
* 脅威 (threat): システムまたは組織に損害を与える可能性があるインシデントの潜在的な原因。
* 情報セキュリティインシデント (information security incident): 望まない単独もしくは一連の情報セキュリティ事象、または予期しない単独もしくは一連の情報セキュリティ事象であって、事業運営を危うくする確率および情報セキュリティを脅かす確率が高いもの。
* 情報セキュリティ事象 (information security event): システム、サービスまたはネットワークにおける特定の状態の発生。特定の状態とは、情報セキュリティ基本方針への違反もしくは管理策の不具合の可能性、またはセキュリティに関連するかもしれない未知の状況を示していることをいう。
* リスク対応 (risk treatment): リスクを変更させるための方策を、選択および実施するプロセス。
また、誹謗中傷対策サービスに関するご質問などがございましたら、専門スタッフが、親切丁寧にお応えいたします。
個人様・法人様の場合でも、匿名でのご相談(お電話)も承っておりますので、お気軽にご連絡くださいませ。
キーワード入力補助機能に関するサービスはご提供しておりません。