情報セキュリティ:情報とセキュリティ(最終更新:2015/12/06 16:33:44 JST)
情報とセキュリティ(教科書1ページ)
情報セキュリティの持つ意味を正しく理解することが情報セキュリティを実現するために重要である.ここでは情報セキュリティを構成する概念を理解する.
本章の話題
- セキュリティの3大要素+4要素
- 脅威と脆弱性
- 情報セキュリティ対策
[*]下へ▼ ▲[#]上へ
セキュリティの3大要素+4要素(教科書2ページ)
情報セキュリティが必要な理由は,守るべき「情報資産」が存在するからである.そのためいろいろな対策を講じないといけない.情報セキュリティが維持すべき3つの概念(要素)は次のとおり.ちなみに3つの概念の頭文字をとって,"CIA"と呼ばれることもある.
- 機密性(Confidentiality):いわゆる一般に「秘密」と言われる考え方⇒許可されたものだけが情報にアクセスできることを確実にすること
- 完全性(Integrity):情報が正確であること保護すること⇒情報が改ざんされていないこと
- 可用性(Availability):許可されたユーザが必要なときに情報にアクセスできること⇒業務中断が発生しないこと
この3大要素に加え,次の4つを加えることもある.
- 真正性(認証性)(Authenticity):なりすましや偽の情報でないことが証明できること
- 責任追跡性(説明可能性)(Accountability):ユーザやサービスの行動,責任が説明できること⇒誰が何を行ったかが追跡可能であること
- 否認防止性(Non-repudiation):行った処理についてあとから否認されないようにすること
- 信頼性(Reliability):システムが正しく動作すること
[*]下へ▼ ▲[#]上へ
脅威と脆弱性(教科書9ページ)
情報セキュリティを考えるときに重要な概念は,「情報資産」,「脅威」,「脆弱性」の3つである.
脅威
情報資産のセキュリティの概念を脅かす存在が脅威である.「システムまたは組織に損害を与える可能性があるインシデントの潜在的な原因」と定義される.また脅威は次のように分類される.
脆弱性
情報資産が脅威に対して持っている弱み,つまりインシデントが発生しやすくなる弱点が脆弱性である.なお,インシデントが発生すると損失が生じる.
[*]下へ▼ ▲[#]上へ
情報セキュリティ対策(教科書12ページ)
情報セキュリティの対策,リスクの管理策(セーフガード)は分類すると次のようになる.
- 予防・防止:セキュリティインシデント発生前に人的・物理的に行う対策
- 検知・監視:セキュリティインシデントの発生を監視,発見するための対策
- 回復・復旧:セキュリティインシデント発生後に発生前の状態に戻すための対策
[*]下へ▼ ▲[#]上へ
このサイトに関するお問い合わせは,連絡先のページをご覧ください.