情報セキュリティとは

情報セキュリティって何？

■情報セキュリティの保護対象

情報セキュリティは、価値のある情報資産をあらゆる脅威から守るための取組みや仕組みです。
価値のある情報資産とは、コンピュータ上や外部記憶媒体に記録されている電子データだけでなく、印刷物のような紙や人の頭の中に存在する情報をも含みます。
このようにITだけに限定するのではなくより広い視点でセキュリティに取り組むことで、多様化している脅威から情報資産を確実に保護します。

■さまざまな脅威

情報資産は、次のような脅威に晒される可能性があります。

自然の脅威

地震や台風、洪水、火災のような自然災害によって引き起こされる脅威です。
物理的な被害が一定範囲に及ぶ特徴があります。

人的脅威

情報を記憶した媒体の持ち出しや紛失、盗難など、人の手によって引き起こされる脅威です。
また、システムのオペレーションミスによる被害も、この人的脅威に含まれます。

システムの脅威

ハードウェアの故障やソフトウェアの不具合によって引き起こされる脅威です。

■情報セキュリティの構成要素

情報セキュリティは、JIS Q27002の中で「情報の機密性、完全性および可用性を維持すること。
さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい」と定められています。
つまり、情報セキュリティの必須要件は「機密性」「完全性」「可用性」の維持であり、「真正性」「責任追跡性」「否認防止性」「信頼性」はオプション要素として考えられています。
情報セキュリティを構成するそれぞれの特性は、次のような内容です。

機密性（confidentiality）

認可された利用者だけが情報資産にアクセスできることを表します。
機密性によって、情報漏えいを防止します。

完全性（integrity）

誤入力や改ざんを受けることなく、情報資産の内容が常に正しい状態を保っていることを表します。

可用性（availability）

必要な時に、いつでも必要としている情報へアクセス可能である状態を表します。
システムの故障や第三者からの妨害に備えることで、可用性が確保できます。

真正性（authenticity）

利用者やプロセス、システム、情報などそれぞれが本物であることを確実 にすることです。

責任追跡性（accountability）

サービス提供主やユーザの責任や行動が明確に説明できることです。

否認防止性（non-repudiation）

ある事象が起きたことやそのきっかけとなった行動を、後になって否認されないようにすることです。

信頼性（reliability）

システムやプロセスが矛盾することなく一貫性を保ちつつ動作し、意図した通りの結果になることです。

これらの要素のうち必須となる3つの要素「機密性」「完全性」「可用性」を、「情報セキュリティのCIA」と呼びます。