ポイント ●「情報セキュリティ」とは,情報の機密性,完全性,および可用性を維持すること。この定義は1990年代前半から使われ始めた ●機密性・完全性・可用性は,情報セキュリティの3大要素と呼ばれることがある ●これらの三つの性質は,情報セキュリティを確保・管理するための要件となる |
あなたはある日突然,会社の情報セキュリティ管理者に任命されました。さて,まずは何をしますか? こんな質問をされたら,いろんな答えが出てくるでしょう。もちろん,その時の状況によって最初にやるべきことは異なります。ただ,いずれにしても組織の情報セキュリティに対する現状把握と,方向性を決める作業は必要です。では,その「情報セキュリティ」とは一体どういうことなのでしょうか。
情報セキュリティとは
2005年10月に発行されたISO/IEC27001(情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項)に,情報セキュリティに関しての定義が書いてあります※1。
情報セキュリティ(information security) 情報の機密性,完全性及び可用性を維持すること。さらに,真正性,責任追跡性,否認防止及び信頼性のような特性を維持することを含めてもよい。 |
この定義文書の前半三つの用語である「機密性」「完全性」「可用性」は,情報セキュリティの3大要素と呼ばれることがあります。それぞれの用語の定義は以下の通りです。
◆機密性:Confidentiality・・・認可されていない個人,エンティティ(団体等)又はプロセスに対して,情報を使用不可又は非公開にする特性 ◆完全性:Integrity・・・資産の正確さ及び完全さを保護する特性 ◆可用性:Availability・・・認可されたエンティティ(団体等)が要求したときに,アクセス及び使用が可能である特性 |
例えば,「機密性を確保するために通信を暗号化する」,「完全性を確保するためにディジタル署名を義務付ける」,「可用性を確保するために機器を冗長構成(2重化)にする」など,各性質を確保するために技術や規約を整備・維持していくことが,組織の情報セキュリティを確保・維持していく作業につながります。
残りの四つの性質(真正性,責任追跡性,否認防止性,信頼性)は「含めても良い」という定義にはなっています。ただし,情報セキュリティ・マネジメントの規格の一つであるISO/IEC TR 13335(GMITS:Guidelines for the Management of IT Security)などではすでに使われていた用語で,やはり情報セキュリティを確保する上で重要な性質となっています。
「情報セキュリティ」の定義はいつごろ決まったのか
ところで,『情報セキュリティとは機密性・完全性・可用性を維持すること』という文言,表現の仕方は多少異なる場合はありますが,情報セキュリティに関する規約や文書のあちらこちらで見かけます。情報セキュリティに要求される事項をシンプルにまとめていて,筆者も当たり前のように使っている文言ですが,いつごろから使われ始めたのでしょうか。