情報セキュリティ
情報セキュリティ(じょうほうセキュリティ、英: information security)とは、情報の機密性、完全性、可用性を維持すること。
定義
通常の定義
情報セキュリティは、JIS Q 27002(すなわちISO/IEC 27002)によって、情報の機密性、完全性、可用性を維持することと定義されている[1]。それら三つの性質の意味は次のとおりである[2]。
- 機密性 (confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること
- 完全性 (integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること
- 可用性 (availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること
これら三つを、英語の頭文字を取って、情報のCIAということもある。
JIS Q 27001 では、これらを次のとおりに定義している。これらは、ISO/IEC 27001 の定義を翻訳したものである。ここで、エンティティとは、団体などを指す。
- 情報セキュリティ (information security): 情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい。
- 機密性 (confidentiality): 許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性
- 完全性 (integrity): 資産の正確さ及び完全さを保護する特性
- 可用性 (availability): 許可されたエンティティが要求したときに、アクセス及び使用が可能である特性
拡張した定義
上記の情報セキュリティの定義は、もともとISO/TC 97/SC 16が1989年に[3]、OECDが1992年に[4]与えたものである。その後、ISO/IEC JTC 1/SC 27が1996年に[5]三つの性質(真正性、責任追跡性、信頼性)を付け加え、さらに2006年に[6]一つの性質(否認防止)を加えている。それら四つの特性の意味は、次のとおりである。
- 真正性 (authenticity): ある主体又は資源が、主張どおりであることを確実にする特性。真正性は、利用者、プロセス、システム、情報などのエンティティに対して適用する。
- 責任追跡性 (accountability): あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できる事を確実にする特性。
- 否認防止 (non-repudiation): ある活動又は事象が起きたことを、後になって否認されないように証明する能力
- 信頼性 (reliability): 意図した動作及び結果に一致する特性
真正性は、「情報システムの利用者が、確実に本人であることを確認し、なりすましを防止すること」である。
JIS Q 27002 (ISO/IEC 27002) では、情報セキュリティを「情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい。」と定義している。つまり、JISに従う限り、これら四つを情報セキュリティの特性に含めなくてもよい。
用語
情報セキュリティに関して使用される次の用語(概念)がある。
- リスク (risk): 何かしらの損失を発生させる事態や状況への可能性。また、考えられる脅威を分析した結果として認識される損失発生の可能性(リスク因子)を指すこともある。リスクの分析をリスク分析という。
- 脆弱性 (vulnerability): リスクを発生させる原因。
- 脅威 (threat): 脆弱性を利用 (exploit) して、リスクを現実化させる手段。自然災害も含まれる。
- インシデント (incident): 発生する可能性の高い脅威。
- 対抗策 (countermeasure): 脅威がリスクを現実化することを抑止(最小化)しようとする手段。対策ともいう。
JIS Q 27001 では、これらを次のとおりに定義している。これらは、ISO/IEC 27001 の定義を訳したものである。
- リスク (risk): 事象の発生確率と事象の結果との組合せ。
- 脆弱性 (vulnerability): 一つ以上の脅威がつけこむことができる、資産または資産グループがもつ弱点。
- 脅威 (threat): システムまたは組織に損害を与える可能性があるインシデントの潜在的な原因。
- 情報セキュリティインシデント (information security incident): 望まない単独もしくは一連の情報セキュリティ事象、または予期しない単独もしくは一連の情報セキュリティ事象であって、事業運営を危うくする確率および情報セキュリティを脅かす確率が高いもの。
- 情報セキュリティ事象 (information security event): システム、サービスまたはネットワークにおける特定の状態の発生。特定の状態とは、情報セキュリティ基本方針への違反もしくは管理策の不具合の可能性、またはセキュリティに関連するかもしれない未知の状況を示していることをいう。
- リスク対応 (risk treatment): リスクを変更させるための方策を、選択および実施するプロセス。
脚注
- ^ 情報セキュリティ対策マネジメント標準 (JIS X 5080, ISO/IEC 17799) (pdfファイル) - 現 JIS Q 27002, ISO/IEC 27002.
- ^ 情報セキュリティ政策会議「政府機関の情報セキュリティ対策のための統一基準」内閣官房情報セキュリティセンター (NISC)
- ^ ISO 7498-2:1989 Information processing systems - Open Systems Interconnection - Basic Reference Model - Part 2: Security Architecture(OSI基本参照モデル-第2部:セキュリティアーキテクチャ)
- ^ OECD Guidelines for the Security of Information Systems(経済協力開発機構 情報セキュリティに関するガイドライン)
- ^ ISO/IEC TR 13335-1:1996 Information technology - Security techniques - The Guidelines for the management of IT Security - Part 1: Concepts and models for IT Security(情報技術-セキュリティ技術-情報技術セキュリティ管理指針-第1部:情報技術セキュリティの概念及びモデル)
- ^ JIS Q 13335-1:2006 情報技術―セキュリティ技術―情報通信技術セキュリティマネジメント―第1部:情報通信技術セキュリティマネジメントの概念及びモデル.
関連項目
外部リンク
- 日本の「ITセキュリティ評価及び認証制度」 IPA独立行政法人情報処理推進機構 (JISEC)
- 情報セキュリティ (技術者Web学習システム)
|
||||||||||||||||||||||||||
 |
この項目「情報セキュリティ」は、工学・技術に関連した書きかけ項目です。加筆、訂正などをして下さる協力者を求めています。 |