情報セキュリティとは?
情報セキュリティの定義を確認する前に、まずは3つの単語を抑えておきましょう!
Confidentiality(秘匿性)
漏らされたくない情報情報が他人に漏れないこと。身近な例で言うと日記やパスワード、個人情報などです。
これらの秘匿性レベルを管理者が管理できる状態であることが理想です。
Integrity(完全性)
情報が勝手に変更されることがないことです。対象となるデータは支払情報や、大学の履修登録などですね。もっと上のレイヤーの話で言うと、政府発表なども完全性が保たれていなければいけないものですね!
Availability(可用性)
情報を必要な時に利用できること、です。また大学で例えると課題提出なんかがそれにあたりますね。
以下の3つに加えて、 Accountability(追跡性), Availability(否認拒否性)を含むこともありますが、まずはこの3つの単語をおさえておきましょう。
そして、この3つの状態を維持した状態が、情報セキュリティを維持していると言うことです!
情報リスクとは?
次に、情報リスクの定義を確認しましょう。情報リスクとは、上記の情報セキュリティが侵害されている状態のことを指します。
では情報リスクとは何か?計算式で表現してみましょう。
情報リスク = 資産 × 脅威 × 脆弱性
こちらも例え話を使って説明します。参加申し込みフォームを考えてください。
参加申し込みフォームに色んな情報を入力すると思います。例えば氏名、住所、メールアドレス…などです。これに出身大学、所属会社、性別などが加わることがありますね。このように、入力される情報がふえれば増えるほど”資産”が増加します。
そして、何かしらの悪意ある攻撃によって”脅威”が発生します。
そして、仕様上のセキュリティの抜け道(セキュリティホール)によって、”脆弱性”が発生します。
“資産”, “脅威”, “脆弱性” のそれぞれのパラメータが増えることで情報リスクが増大します。
情報セキュリティはこの3つのパラメータを分析し、解決する手法・知識のことなのです。
今回はここまで!次は情報セキュリティの考え方についてみていきます。
