【解説】情報セキュリティの基本 3大要素 / 6大要素 / 7大要素
情報セキュリティとは情報資産を正常に維持することです。情報資産を適切に安心して使用できるようにこの「情報セキュリティ」は考えられました。では、正常に維持できる・安心して使用できるという状況はどのような状況なのでしょうか。
それは、次の3つの要素を満たしている状況です。
情報セキュリティの3大要素
1.機密性(Confidentiality)
2.完全性(Integrity)
3.可用性(Availability)
これらの定義は、1989年に国際的な機構によって制定されました。情報資産を安心して使用できるような状態にするには、この要素を維持管理していくことが必要になります。
詳しく見ていきましょう。
1.機密性(Confidentiality)
アクセスを許可されたものだけが情報資産にアクセスできるようになっているということです。これには情報資産へのアクセス権限を制御する必要があります。機密性が保たれていないと、情報が漏えいしたりします。例:アクセス制御、パスワード認証、暗号化、入退室管理
2.完全性(Integrity)
情報資産が変化せずに完全に保たれていることです。要は情報資産を改ざんされたりすることがないということです。完全性が保たれていないと、情報としての信頼性を欠くことになります。情報資産が第三者に改ざんされることや、虚偽のデータを作成されたりすることが考えられます。例:デジタル署名、メッセージダイジェストによる改ざん防止
3.可用性(Availability)
情報資産にアクセスしたいときにアクセスできる状態のことです。可用性が保たれていないと、Webサービスなどが通常通りに使用できなかったりします。例:ネットワークやシステムの二重化、ホットスタンバイ、UPS、RAID、負荷分散装置、クラスタリング構成
いかがでしたでしょうか。セキュリティの基本が制定されたのが1989年、割と最近ですよね。そして時は流れITも進化していく過程で、これでは足りないと詳しい方々は思ったのでしょう。1996年、国際的な機構は上記要素にさらに3つの要素を加えました。
情報セキュリティの6大要素
4.真正性 (authenticity)
5.責任追跡性 (accountability)
6.信頼性 (reliability)
詳しく見ていきましょう。
4.真正性 (authenticity)
利用者やシステムの振る舞いが明確であること。なりすましでないことを証明できること。偽情報でないことを証明できること。例:デジタル署名、パスワード認証
5.責任追跡性 (accountability)
利用者やシステムの振る舞いが説明できること。利用者やシステムの責任を説明できること。例:アクセスログの記録、デジタル署名による否認防止
6.信頼性 (reliability)
システムやプロセスが矛盾なく動作すること、一貫して動作すること。例:ネットワークやシステムの二重化、さーなばルーム環境による安定稼働、負荷に耐えられる設計
意図した動作及び結果に一致する特性
そして、さらに2006年に一つの要素が加わりました。