2020年11月24日火曜日

情報セキュリティ対策:01

1.情報セキュリティの基本概念のまとめ

1.1.情報セキュリティとは

ISO/IEC27000ファミリー、JIS Q 27000ファミリーによると

「情報の機密性、完全性、及び可用性を維持すること」、

付加的特性として真正性、責任追跡性、否認防止、信頼性などがある。


1.2.情報セキュリティの三特性(CIA)

  • 機密性(Confidentiality)
    アクセスを認められた者だけが、決められた範囲内で情報資産にアクセスできる状態を確保することです。

    具体的には、情報資産に対するアクセス権限をもつ者ともたない者を明確に区別し、アクセス権限をもつ者だけが許可された範囲内で使用できるように管理することを指します。

  • 完全性(Integrity)
    情報資産の内容が正しく、矛盾がないように保持されていることです。完全性には、情報そのものが正しいことと、情報処理の方法が正しいことの二つを満たすことが要求されます。

    具体的には、データが処理される過程で、データの欠落や重複、改ざん、破壊などの異常が発生しないようにすることを指します。
  • 可用性(Availability)
    アクセスを認められた者が、必要なときにはいつでも、中断することなく、情報資産にアクセスできる状態を確保すること(使用可能性)です。

    具体的には、システムの二重化や冗長化、構成機器のグレードアップ、重要データのバックアップ、定期保守や予防保守の実施などによって、システム障害が発生しないように管理することを指します。


1.3.情報セキュリティの付加的特性

  • 真正性(authenticity)
    真正性を「ある主体または資源が、主張どおりであることを確実にする特性。真正性は、利用者、プロセス、システム、情報などのエンティティに対して適用する」と定義しています。

    例えば、利用者が本人であると主張したとき、その利用者が主張する身元の正しさを検証する手段を備えており、確実に本人だけを認証できることを指します。

  • 責任追跡性(accountability)
    「あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性」と定義しています。

    例えば、情報システムやネットワーク、データベースなどのログを体系的に取得しておき、どの利用者が、いつ、どの情報資産に、どのような操作を行ったかを追跡できるようにすることを指します。

  • 否認防止(non-repudiation)
    否認防止を「ある活動又は事象が起きたことを、後になって否認されないように証明する能力」と定義しています。

    例えば、PKIを利用したディジタル署名やタイムスタンプを付与することによって、文書作成者が、その文書を作成した事実を後から否認できないようにすることを指します。

  • 信頼性(reliability)
    信頼性を「意図した動作及び結果に一致する特性」と定義しています。

    例えば、ある条件下で情報システムを稼働させたとき、故障や矛盾の発生が少なく、指定された達成水準を満たしていることを指します。

1.4.情報セキュリティ対策

情報セキュリティ対策は、技術的セキュリティ、物理的セキュリティ、人的セキュリティ、組織的セキュリティの四つに分類されます。

この4つの分類でそれぞれ詳細な対策が行われます


1.5.情報セキュリティ対策の機能

セキュリティコントロール(security control)とは、組織の情報セキュリティを維持するために、組織体の内部や情報システムに組み込まれた仕組みのことです。セキュリティコントロールは、情報セキュリティ対策基準における具体的なセキュリティ対策(管理策)として具現化されます。

セキュリティコントロールの機能を大別すると、抑止、予防、検知、復旧の四つの機能に分類することができます。なお、抑止と予防を区別せず、予防、検知、復旧の三つの機能に分類する場合もあります。
  •    抑止、抑制
  •    予防、防止
  •    検知、追跡
  •    回復

    •  抑止: セキュリティリスクを意図的に顕在化させようとする者に対し、そうした不正行為をけん制し、思いとどまらせること。
    • 予防: 意図的であるか、偶発的であるかにかかわらず、セキュリティリスクが顕在化する原因を取り除くこと
    •  検知: セキュリティリスクが顕在化していないかを監視し、顕在化したリスクを早期に検出し、通知すること
    •  復旧: セキュリティリスクが顕在化した場合、発生した損害を局所化し、速やかに原状に復帰させること

1.6.情報セキュリティマネジメントの基礎

1.6.1.情報セキュリティマネジメントの概要

情報セキュリティマネジメント(Information Security Management)は、企業などの組織体において情報セキュリティ対策を計画し、それを確実に実践することで、情報セキュリティのレベルを維持・改善する一連の活動です。この情報セキュリティマネジメントを組織的に推進するための管理の仕組みを、ISMS(Information Security Management System、情報セキュリティマネジメントシステム)といいます。


1.6.2.マネジメントシステムとプロセスアプローチ

製品やサービスの品質の維持・向上を図るための活動を、検品や検査、テストといった最終プロセスだけに頼るのではなく、計画、設計、開発、製造などのプロセスごとに目的や役割を明確にし、各プロセス間の相互関係を整理し、有効に機能させることによって、製品やサービスの品質向上につなげていこうという考え方を「プロセスアプローチ(process approach)」といいます。プロセスアプローチでは、継続的な改善活動を行うことが前提となっているため、プロセスを管理するための方法としてPDCAサイクルを用いるのが一般的です。


今回の総括

情報セキュリティの基本概念の一部をまとめています。
ここから、技術的対策などにつながります。
セキュリティには法的なものや、必要とする仕組みなどがあります。
これらのことはIT技術者には必須のものになりつつあります。
基本をしっかり押さえましょう。


投稿者 時刻:
ラベル: ,