2017/12/07
2016年の経済産業省の調査によると、情報セキュリティ人材は約13万人が不足しており、2020年には19万人超に拡大するそうです。
情報処理安全確保支援士の創設など、国をあげて情報セキュリティ人材の増加を促しているような状況です。
しかし、そもそも情報セキュリティとは、なんなのでしょうか。本記事にて、解説します。
sponsored link
情報セキュリティとは
情報セキュリティとは、狭義の意味だと、PCやサーバー等のコンピューター内の情報や、コンピューター間で通信される情報を守ることを指します。
一方で、広義の意味だと、地震や火事などの災害(ハザードリスク)による情報損失を防ぐことや、コンピューターではなく紙によって保持されている情報を守ることを指すこともあります。
さらに言うと、他者の情報への攻撃に利用されることの防止も情報セキュリティではないかと、私は考えています。
例えば、自分のPCがボットウィルスに感染したことによって他者へのDDOS攻撃の踏み台にされてしまったり、メールアカウントが乗っ取られたことによって他者へスパムメール送信の踏み台にされてしまったりすることがあげられます。
仮に、自分に直接被害や影響がなかったとしても、それは情報セキュリティの範囲でしょう。場合によっては、他者への攻撃の首謀者として警察に容疑をかけられる可能性もあります。
情報セキュリティの3要素(情報のCIA)
情報セキュリティは、日本工業規格のJIS Q 27001:2006に、「情報の機密性、完全性、可用性を維持すること」と定義されています。
機密性(Confidential)、完全性(Integrity)、可用性(Availability)は、情報セキュリティの3要素、または、英語の頭文字を情報のCIAと呼ばれています。
具体的には、JIS Q 13335-1:2006に定義されています。
機密性(Confidential)
情報の機密性とは、ある情報にアクセスを認められた人だけが使用できるようにすることです。
機密性を確保することの具体例としては、パスワードを設定することで権限の無い人のアクセスを制限することです。
また、広義の意味で情報セキュリティをとらえる場合は、不要になった紙の情報を、シュレッダーや溶解処理業者へ出すことも、機密性の確保の一つになります。
完全性(Integrity)
情報の完全性とは、情報が破壊、改ざん、削除されないようにすることです。
完全性を確保することの具体例としては、デジタル署名です。デジタル署名は、データが通信中に改ざんされていないことを証明するための仕組みです。身近なところでは、httpsで始まるサイトへのアクセス(TLS)で使用されています。また、ファイルサーバー上の各ファイルの更新や削除を限られた人にだけ許すということも完全性の一例です。
可用性(Availability)
情報の可用性とは、情報を必要な時に使用できるようにすることです。
可用性を確保することの具体例としては、アクセスの集中でサイトが見れなくなるのを防止するためにシステムを2重化することや、情報の破壊に備えて定期的なバックアップを取得することがあげられます。
トレードオフの関係に注意
注意すべき点は、機密性と可用性、完全性と可用性はトレードオフの関係になりやすいという点です。
例えば、機密性を高めるため、パスワードの頻繁な変更をルールとしたり、英字と数字と記号を必ず混ぜるといったルールとしたりすると、パスワード忘れが発生しやすくなるため、可用性は低下します。
また、完全性を高めるため、ごく一部の人にだけ更新権限を与えていると、その担当者が不在の時に作業ができなくなってしまい、可用性は低下します。
何でもかんでも機密性や完全性を重視すれば良いというわけではなく、情報セキュリティ対策を講じる際は、3要素のバランスが大切になります。
まとめ
情報セキュリティとは、3要素(情報のCIA)である機密性、完全性、可用性を確保することです。
注意すべきは、機密性と可用性、完全性と可用性はトレードオフの関係になることがある点です。単純に情報を守ることだけを重視するだけでは、業務の運用に支障をきたしてしまうことがあります。3要素のバランスが大切です。
関連
