日曜日, 6月 25, 2006

情報セキュリティとは何か?

いまさらになりますがこのブログでは主に情報セキュリティの話題を取り扱っています。一番最初の記事を読み返したのですが、そこにもきちんと「おそらくメインはセキュリティ関連になっていく」 と書いてありました。

ところで、情報セキュリティというのはいったい何なのでしょうか?情報セキュリティを取り扱っているブログなのにそのことが全く述べられていないのはまずいのでは?と思ったので、今回は「情報セキュリティとは何なのか?」ということを考えてみたいと思います。

securityという単語を辞書で引いてみると以下のように書いてありました。(goo辞書使用)

【security】n. 安全 ((from)); 安心; 〔古〕 油断; 確実; 保護, 保安; 防衛(策) ((against; from)); 【コンピュータ】安全保護 ((無断でデータにアクセスできないようにすること)); 保証(金・人); 担保(品); 借用証 ((for)); (pl.) 証券, 証書, 債券.

securityの意味を基にして「情報セキュリティ」という意味を考えてみると、情報の安全保護といったところでしょうか。

さて、実は情報セキュリティとは何なのかをきちんと規定した文章があります。それは、ISO/TR 13335(GMITS:ITセキュリティマネジメントのガイドライン(5パートにより構成))の1つであるISO/IEC 13335-1です。そして、ISO/IEC 13335-1:2004(:2004は2004年にできましたということ)には以下の文章があります。

組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが 情報セキュリティマネジメントシステムの基本コンセプトである。

つまり、情報セキュリティとは情報セキュリティの機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)をバランス良く維持し改善することなのです。これを情報セキュリティのCIAといったりします。ちなみに、可用性という言葉は広辞苑などには載っていないコンピュータ業界の造語です。では、機密性、完全性、可用性とはいったい何なのでしょうか?

【機密性】
機密性とは言葉通り、いかに情報が厳重に守られているかということです。ある情報を閲覧する権利がないユーザが、その情報を見ることができないようにする。こういった適切なアクセスコントロールなどが機密性の確保といったことでしょう。

【完全性】
完全性が確保されている、保たれているというのは、簡単に言うと情報が正しいということです。つまり、情報が改ざん、破壊されないようにすることが完全性の確保には必要です。
個人情報保護法にも個人情報取扱い事業者には「データ内容の正確性の確保」を行うという義務が生じると書いてあります。これも情報の完全性と言うことができるのではないでしょうか。

【可用性】
可用性とは、必要な人が必要なときに情報を利用することができるということです。これを達成するには、高速なネットワークを構築し、便利なファイルサーバを導入することだけでなく、システム全体のダウンをいかに減らすか、または情報のバックアップをどのように取るのかといったことを考える必要があります。

さて、上記の3つを読むとこれらがお互いに相反することを求めていることがわかります。極端な例になりますが、最高の機密性を求めるならば重要なデータの入ったHDを貸金庫にでも入れておけば良いのです。しかし、これではその情報が必要になったときに毎回貸し金庫まで出向き、手続きを行う必要が出てきます。これでは高い機密性が取れていても、可用性は非常に低いといえます。逆に、可用性を最大限まで高めたいのであれば情報をWebサーバなどに載せると良いと思います。そうすれば誰でも好きなときにアクセスできます。しかし、もちろんこれは機密性が全く取れていないといって良いでしょう。

こういった問題が生じるため、ISO/IEC 13335-1:2004には「機密性、完全性、可用性をバランス良く維持し改善する」と書いてあるのです。バランスです。例えば、数年に1回しか利用しないような情報が書いてある書類は貸金庫に入れておいても可用性は問題になりませんし、世の中に公開している情報はインターネットで公開しても機密性が問題になることはありません。これら以外の顧客情報や、開発資料などは一概に言うことはできませんが、機密性、完全性、可用性のバランスを考えて対策を実施することが重要なのです。某金貸し屋ではありませんが、情報セキュリティはバランスが大切なのです。

<参考資料>
第1回 情報セキュリティ、基礎の基礎の概念を知る ITmedia 2004年10月26日
情報セキュリティ入門 (2)情報セキュリティのC.I.A.って? YOMIURI ONLINE 2004年12月8日情報セキュリティマネジメントシステム(ISMS)とは JIPDEC
情報セキュリティマネジメントに関する標準化動向 ITSCJ
個人情報の保護に関する法律 首相官邸
時刻:
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)