この動画は、無料公開期間を経た後、メンバーシップ限定動画になります。動画見放題のメンバーシップ(月額990円)を是非ご利用ください。
情報を脅威から守ることは重要ですが、だからといってコンピュータを金庫の中に入れて誰にも使えなくしてしまったら、安全性は高まりますが、非常に不便になってしまいます。
そこで、情報セキュリティを考える場合は「情報のCIA」という観点から考える必要があります。これは、「Confidentiality(機密性)」「Integrity(完全性)」と「Availability(可用性)」の頭文字を取ったもの。それぞれについて紹介していきましょう。
機密性(Confidentiality)
情報をむやみに見られるようにせず、必要な人にだけ見せるという「アクセスコントロール」を適切に行うというものです。
例えば、Googleのスプレッドシートなどでは、共有時に必要に人だけ招待することができます。また、「閲覧だけ」とか「変更可能」といった細かい権限設定を行い、改ざんや破壊を防ぐこともできます。
完全性(Integrity)
情報が、間違いなく完全な状態になっていることを表します。外部から改ざんされていたり、内容が欠落していないかを確認するために、変更ログを取得したり、承認制にするなどが必要になります。
可用性(Availability)
利用したいときに利用できることを指します。先の通り、安全性だけを重視してコンピュータの電源を落としてしまっていたり、特定の場所からしか利用できない状態は、可用性が低いと言えます。
クラウドサービスのセキュリティ機能などをうまく利用しながら、必要な人が必要なときにアクセスできるようにしておく必要があります。
この3つの「CIA」を基準に、セキュリティ対策をしていきましょう。なお、情報セキュリティの用語などを定義する「JIS Q 27000」では、これに加えて次の、4つを加えることとされています。
- 真正性
- システムや利用者になりすましができないこと
- 責任追跡性
- 情報システムや情報資産を利用した記録が残ること
- 否認防止
- 事象の発生とそれを行った人物が特定できること
- 信頼性
- システムの動作や結果が意図されたとおりになっていること