技術要素 - 11.セキュリティ - 1.情報セキュリティ - 1.情報セキュリティの目的と考え方
Last Update : April 12 2021 22:26:36
a. CIA
情報セキュリティ (information security)とは、企業や団体の情報システムやその情報システムを使って作成・蓄積された情報を健全かつ正確に運用するため、情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい。
OECD「情報システムのセキュリティに関するガイドライン」に定義されている。
- 機密性 (confidentiality)
情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること
- 完全性 (integrity)
情報が破壊、改ざん又は消去されていない状態を確保すること
- 可用性 (availability)
情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること
これら三つを、英語の頭文字を取って、情報のCIAということもある。
ISO/IEC JTC 1/SC 27のガイドラインでは、以下のことも追加されている。
- 真正性 (authenticity)
ある主体又は資源が、主張どおりであることを確実にする特性。真正性は、利用者、プロセス、システム、情報などのエンティティに対して適用する。
真正性を分かりやすく説明すると、「情報システムの利用者が、確実に本人であることを確認し、なりすましを防止すること」である。
- 責任追跡性 (accountability)
あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できる事を確実にする特性
- 否認防止 (non-repudiation)
ある活動又は事象が起きたことを、後になって否認されないように証明する能力
- 信頼性 (reliability)
意図した動作及び結果に一致する特性
b. OECD情報セキュリティガイドライン
新ガイドラインの目的は、A culture of security(セキュリティ文化)の促進、リスクや措置に関する意識の啓発、情報システムとネットワークの信頼性の醸成、セキュリティの理解の促進や倫理の尊重に関する考え方の枠組み(frame of reference)の創造、情報共有や協力の促進、標準の作成・実施の促進。
この目的を達成するために次の9つの原則を提唱しています。
- 認識の原則(旧情報提供の原則)
政府、企業、個人ユーザ等のインターネットへの参加者(以下、参加者という)は情報セキュリティの必要性及びセキュリティの強化策を認識しなければならない。情報システムとネットワークは組織内外のリスクにさらされている、セキュリティの欠如は自らの情報システムと他人の情報システムに害を与え得る、システムの構成、利用可能なアップデート情報等について認識すべきである。
- 責任の原則(旧責任の原則)
全ての参加者は情報セキュリティについて責任を有しなければならない。参加者はそれぞれの役割に応じて(説明)責任を有する、講じた措置等を定期的に見直すべき、IT 製品やサービスの提供者は製品やサービスのセキュリティ機能及びセキュリティに関する責任について適切な情報(アップデート情報を含む)を提供しなければならない。
- 対応の原則(旧適時性の原則)
参加者は不正アクセスの予防、検知及び対応に当たり、適時に、かつ、協調的に行動しなければならない。参加者は脅威や脆弱性の情報の共有や不正アクセスの予防、検知、対応のための協力手続を実施すべきである。
- 倫理性の原則(旧倫理性の原則)
参加者は他人の合法的な利益を尊重しなければならない。参加者は自らの行為が他人を害するおそれがあることを認識し、他人の合法的な利益を尊重する行為の促進を行うべきである。
- 民主主義の原則(旧民主主義の原則)
情報セキュリティは民主社会の基本的な価値に合致しなければならない。セキュリティは思想交換の自由、情報の自由流通、情報・通信の秘匿、個人情報の適切な保護、公開性・透明性といった民主社会の価値と合致すべきである。
- リスク評価の原則(旧比例性の原則)
参加者はリスク評価をしなければならない。リスク評価は技術、物理的及び人的要因、方針、第3者のサービス等の内外の要因を幅広く含んだものとすべきである、リスク評価は他者からの、及び他者に対する潜在的な害を考慮したものとすべきである。
- セキュリティデザインと実装の原則(旧統合の原則)
参加者は情報システムとネットワークの基本的な要素としてセキュリティを包含しなければならない。セキュリティは IT 製品、サービス、システム及びネットワークの基本的な要素であり、デザインとアーキテクチュアの不可決の部分である。
- セキュリティマネジメントの原則(旧多面的考慮の原則)
参加者は包括的なセキュリティマネジメントを行わなければならない。セキュリティマネジメントは、参加者の活動の全てのレベル及び側面を含んだものとすべき、また、脅威への事前の対処やシステムの回復、見直し、監査を含んだものとすべき、セキュリティポリシー等は首尾一貫したものとすべきである。
- 再評価の原則(旧再評価の原則)
参加者は情報セキュリティの見直し、再評価を行うとともに、セキュリティポリシー等を適切に修正しなければならない。
※参考資料 OECD情報セキュリティガイドライン(PDF形式)
www.it-shikaku.jp