＜231＞ 情報資産を取り巻く 『脅威』 の３項目

 

情報漏えいや情報破壊など情報資産を脅かすことを〔脅威〕と言います。
この〔脅威〕を次の３つの項目に分類することが出来ます。

１．物理的脅威　２．技術的脅威　３．人的脅威

１．物理的脅威

物理的脅威の代表的なものとして次のようなものが考えられます。

・火災
・地震
・風水害
・落雷（停電）
・機器の故障
・パソコンの盗難

これらはすべて身近にある脅威であり、誰もがすぐにイメージすることが出来る脅威です。
そして個人レベルであれば自分なりに対策も講じやすいものと言えるでしょう。

 

２．技術的脅威

技術的脅威としては次のようなものが考えられます。

・不正アクセス
・盗聴
・コンピューターウイルス
・ファイル等の改ざん
・データの消去
・ＤｏＳ攻撃、
・なりすまし

技術的脅威は物理的脅威のように目に見えるものではありません。
コンピューターウイルスや不正アクセスは、それ自体火災や機器の故障などと異なり、目に見えない不可視の脅威です。これら不可視の脅威を技術的脅威と呼びます。

また、技術的脅威は普通の状況ではその異変に気づかないこともあり、検知や対策がおこないづらい脅威と言えます。

（技術的脅威のことを、「物理的脅威：physical」 に対して 「論理的脅威：logical」 とも呼びます。）

 

 

３．人的脅威

人的脅威とは、情報を扱うのが「人」ゆえに発生する脅威です。
パソコンのスキルや作業環境、油断、思い込み、誤った認識等がその原因となります。
組織にとっては一番やっかいな脅威でもあります。

・誤操作
・パスワードの不適切管理
・サボタージュ（組織の場合）
・内部の不正行為（組織の場合）

 

人的脅威は理解はしやすいのですが、組織の場合は逆に一番防ぎにくいものと言うことができます。　　しかし、個人レベルの場合は自分自身が注意すれば良いわけですから、技術的脅威に較べて難しいものではありません。

 

＜230＞ 情報セキュリティの基本概念

情報セキュリティとは 「情報を安全に守る」 と言うことですが、この「安全に守る」とは、具体的には下記の要件を満たしている状況を指します。 情報セキュリティの目的はリスクを減少させることであります。情報セキュリティ対策に（完璧・絶対）はありません。
情報セキュリティの基本概念として、「情報セキュリティのＣ・Ｉ・Ａ」と呼ばれ、国際的に定義されている考え方があります。　これをバランスよく満たすべく対策を行うことで、全体として セキュア（安全）な状態を構築することが必要であります。

■ 情報セキュリティ 基本要件

　　「機密性」Ｃｏｎｆｉｄｅｎｔｉａｌｉｔｙ
　　「完全性」Ｉｎｔｅｇｒｉｔｙ
　　「可用性」Ａｖａｉｌａｂｉｌｉｔｙ

大切な情報をさまざまな脅威から 守るためには 「機密性」「完全性」「可用性」の維持が必要です。

＝機密性＝
利用者の権限に応じて情報が適正に保護されていること。 ある特定の情報に対して、アクセスを許可された利用者だけがアクセスできる状況であること。 つまりアクセス権のない人には、その情報にアクセス出来ないようにシステムが構成されていることを言います。　具体的には、例えばＩＤやパスワードの設定により、他人がその情報にアクセス出来ないようにすることです。

＝完全性＝
情報が常に正当で、完全であること。 これは簡単にいうと「情報が正確で正当である」ということです。 不正アクセスにより、情報の一部が欠けていたり、改ざん・破壊されていない状況を指します。 例えば、送信したＥメールが１語１句書かれたとおりの内容で相手に送られていなければならない、と言うことです。　１語でも違っていたら改ざんされたということになります。 又、ニュースでも時々報じられますが、企業や役所などのホームページが何者かに「改ざん」されるといったことがあります。これは完全性が低下した状態であり、 不正アクセスの結果「改ざん」という脅威を許してしまった結果ということになります。

＝可用性＝
必要な情報が必要な時にいつでも利用できること。 情報にアクセスが許可されている利用者が、その情報へのアクセスを要求した場合、（いつでも） 確実に アクセスできるということです。 ウイルス感染などで情報が使えなくなると、可用性が失われることになります。 （いつでも） ということが大切です。

これら３つ要件は、それぞれが絡み合っております。情報セキュリティ対策には、これら３つのバランスを考え合わせながら対策を講じることが肝心です。情報セキュリティ対策を考える場合、この３つの項目のいずれかに関係することとなります。