情報セキュリティとは 「情報を安全に守る」 と言うことですが、この「安全に守る」とは、具体的には下記の要件を満たしている状況を指します。 情報セキュリティの目的はリスクを減少させることであります。情報セキュリティ対策に(完璧・絶対)はありません。
情報セキュリティの基本概念として、「情報セキュリティのC・I・A」と呼ばれ、国際的に定義されている考え方があります。 これをバランスよく満たすべく対策を行うことで、全体として セキュア(安全)な状態を構築することが必要であります。
■ 情報セキュリティ 基本要件
「機密性」Confidentiality
「完全性」Integrity
「可用性」Availability
大切な情報をさまざまな脅威から 守るためには 「機密性」「完全性」「可用性」の維持が必要です。
=機密性=
利用者の権限に応じて情報が適正に保護されていること。 ある特定の情報に対して、アクセスを許可された利用者だけがアクセスできる状況であること。 つまりアクセス権のない人には、その情報にアクセス出来ないようにシステムが構成されていることを言います。 具体的には、例えばIDやパスワードの設定により、他人がその情報にアクセス出来ないようにすることです。
=完全性=
情報が常に正当で、完全であること。 これは簡単にいうと「情報が正確で正当である」ということです。 不正アクセスにより、情報の一部が欠けていたり、改ざん・破壊されていない状況を指します。 例えば、送信したEメールが1語1句書かれたとおりの内容で相手に送られていなければならない、と言うことです。 1語でも違っていたら改ざんされたということになります。 又、ニュースでも時々報じられますが、企業や役所などのホームページが何者かに「改ざん」されるといったことがあります。これは完全性が低下した状態であり、 不正アクセスの結果「改ざん」という脅威を許してしまった結果ということになります。
=可用性=
必要な情報が必要な時にいつでも利用できること。 情報にアクセスが許可されている利用者が、その情報へのアクセスを要求した場合、(いつでも) 確実に アクセスできるということです。 ウイルス感染などで情報が使えなくなると、可用性が失われることになります。 (いつでも) ということが大切です。
これら3つ要件は、それぞれが絡み合っております。情報セキュリティ対策には、これら3つのバランスを考え合わせながら対策を講じることが肝心です。情報セキュリティ対策を考える場合、この3つの項目のいずれかに関係することとなります。