本記事では情報セキュリティについて学んだ内容を備忘録としてまとめています。
情報セキュリティの基礎知識について簡単に説明していますので、興味がある方は是非読んでみてください。
情報セキュリティとは?
情報セキュリティとは、組織や企業の情報資産を「機密性」「完全性」「可用性」に関わるリスクからを守ることを指します。
以下では、情報資産や情報セキュリティの3大要素(+4要素)、セキュリティリスクについて説明していきます。
情報資産とは
情報資産とは、資産として価値のある情報を指します。
例えば従業員情報や顧客情報、重要な契約書、会議の議事録などがあります。
上記のような情報が漏洩してしまうと、個人情報については、悪意のある人間から不正利用されてしまうリスクなどがあります。
また、顧客からの信用、ひいては社会的な信用を失い、最悪の場合は倒産にまで追い込まれる可能性もあります。
上記のように情報資産の漏洩は、場合によっては多くの人間に影響を及ぼすため、情報資産の管理は厳重に行う必要があります。
情報セキュリティの3大要素(+4要素)とは
情報セキュリティの定義は、日本の産業製品の規格を定める「JIS」の「JISQ27002(規格番号)」が有名です。
「JISQ27002」では情報セキュリティについて、「情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい」と定義されています。
上記の文章を読むと、「機密性」「完全性」「可用性」が特に重要で、「真正性」「責任追跡性」「否認防止」「信頼性」はおまけに見えますが、基本情報技術者試験などでは3大要素以外の特性も問われるので、試験を受ける方は覚えておきたいところです。
情報セキュリティの7要素の説明については、以下の表に簡単にまとめました。
| 特性 | 説明 | 予想される インシデント |
|---|---|---|
| 機密性 | 許可されていない個人や組織に対して、情報の使用や開示をしないこと。 パスワード管理、認証設定、入退室管理などが機密性の確保につながる。 |
・情報漏洩 ・データの改ざん、削除 |
| 完全性 | データの改ざんなどが起きず、正確な情報が保持されていること。 バックアップシステムの構築、ログの取得、デジタル署名、データの暗号化などが完全性の確保につながる。 |
・データの改ざん、削除 |
| 可用性 | 許可された個人や組織、媒体がデータを要求した時に、そのデータのアクセスや使用が可能であること。 負荷分散装置の設置、定期的なバックアップ、サーバの冗長化などが可用性の確保につながる。 |
・ランサムウェアへの感染 ・DoS、DDoS攻撃 |
| 真正性 | 個人や組織、媒体が行なった一連の動作を追跡すること。 デジタル署名、二段階認証、生体認証システムの導入などが真正性の確保につながる。 予想されるインシデントは、不正アクセス(なりすまし)など。 |
・不正アクセス(なりすまし) |
| 責任追跡性 | その情報を変更したのがいつ、だれによるものか、追跡できるようになっていること。 ログのバックアップなどが責任追跡性の確保につながる。 |
・ログ情報の漏洩や改ざん |
| 否認防止 | インシデント発生後、その原因となった個人や組織、媒体から該当の行動を否定されないように証拠を残すこと。 ログのバックアップなどが責任追跡性の確保につながる。 |
責任追跡性が不十分な場合、証明することが難しくなる |
| 信頼性 | 情報システムによる処理に欠陥や不具合がなく、処理が確実に行われていること。 システムの定期的な保守などが信頼性の確保につながる。 |
・システムのバグ |
情報セキュリティのリスクとは
情報資産の重要性については先ほど説明しましたが、ここでは具体的にどういった流れで情報が流出してしまうのか?ということを説明していきます。
情報セキュリティにおけるリスクは、よく「脅威」と「脆弱性」に分けて説明されます。
情報セキュリティにおける「脅威」とは
情報セキュリティにおける「脅威」は大きく分けて3つあります。
それが以下の通りです。
・意図的脅威
標的型メール攻撃やマルウェア感染 → 外部の人間による悪意ある行為や、従業員が機密情報を持ち出して悪用するといった内部不正による脅威はこれに該当する。
・偶発的脅威
記録媒体の盗難やシステムの操作ミスなどヒューマンエラーによる脅威はこれに該当する。
・環境的脅威
地震や台風、落雷などの自然災害による脅威はこれに該当する。
ここではそれぞれの脅威についていくつかの例を挙げて紹介していますが、ほんの一例なので興味がある方は、それぞれの脅威について調べてみてください。
情報セキュリティにおける「脆弱性」とは
情報セキュリティにおける「脆弱性」は大きく分けて3つあります。
それが以下の通りです。
・ソフトウェアの脆弱性
ソフトウェアやOSの表面化していない不具合や時間の経過によって発生した不具合を狙って攻撃を仕掛けられる場合がある。
・管理文書・体制の不備
ソフトウェア仕様書や操作手順書の不備、情報管理体制の不備は、ソフトウェア障害や誤操作、セキュリティ事故対応の遅れにつながることがある。
・災害やトラブルに弱い立地
災害に見舞われやすい場所や停電が起きやすい場所などにデータセンターがある場合、サーバーの故障や破損でシステムが稼働できなくなる可能性が高くなる。
まとめ
今回は情報セキュリティの基礎知識をご紹介しました。
最後に今回お伝えした内容をもう一度振り返っていきたいと思います。
・情報セキュリティとは、組織や企業の情報資産を様々なリスクからを守ること。
・情報資産とは、資産として価値のある情報を指す。
・情報セキュリティの特性は、「機密性」「完全性」「可用性」「真正性」「責任追跡性」「否認防止」「信頼性」の7つに分類される。
・情報セキュリティにおける「脅威」は、「意図的脅威」「偶発的脅威」「環境的脅威」の3つ。
・情報セキュリティにおける「脆弱性」は、「ソフトウェアの脆弱性」「管理文書・体制の不備」「災害やトラブルに弱い立地」の3つ。
今後他にも気になる言葉や技術について当ブログでまとめていきたいと思います。
お手すきの際に確認してみてください。
