情報セキュリティはセキュリティの基本中の基本
目次
情報セキュリティとは
情報処理安全確保支援士のテキストの一番最初に書かれている内容ですね。
2.33 情報セキュリティ(information security)
情報の機密性(2.12),完全性(2.40)及び可用性(2.9)を維持すること。
※日本工業規格JIS Q27000:2014
ホワイトハッカー(Ethical Hacking)仕事は簡単に言うと、コンピュータのハードディスクに格納されているファイル(情報)を守ることですね。
私事ですがインターネットの無い時代は会社から巨大なラップトップパソコンが支給されていて、3.5インチのフロッピーディスクにファイルを書き込んで情報をやりとりしてました。
その時のブラックハットハッカーは「3.5インチのフロッピーディスク」を盗むしかなかったのですね。(スタンドアロンの時代)
今は、ファイルはハードディスクに格納され、ファイルの容量も巨大になり、ネットワーク回線を利用して簡単にファイルのやり取りができるようになりました。(オンラインの時代)
情報技術や通信技術が発達したおかげなのですが・・・
要は、全てのコンピューターがネットワークでつながった結果、他人のパソコンに覗きにいくことが可能になったのですね。
そこで、「情報と情報にかかわる全ての資産」を守るために「情報セキュリティ」ができました。
情報と情報にかかわる全ての資産とは
- ハードディスクに格納されているファイル(情報)
- コンピューター(ハードウェア)
- ハードディスクやUSBなどの記録媒体
- データベース
- ソフトウェア
- ネットワーク
- 施設、人、書類
- 設備(電話、ファックス、書類、人間、電気、水道、ガス) ・・・など
どれか一つ障害が起きても運用が止まってしまうからです。
これらの情報資産を守るためにできた「情報セキュリティ」ですが、JIS Q 27000によって、情報の「機密性」、「完全性」、「可用性」を維持することと定義されています。
JISはご存じのとおり「日本産業規格」日本の国家規格のことで、重要だとわかりますね。
でも、「機密性」、「完全性」、「可用性」ってなんのこっちゃよくわかりませんね。
機密性(confidentality)
2.12 機密性(confidentiality)認可されていない個人,エンティティ又はプロセス(2.61)に対して,情報を使用させず,また,開示しない特性。
日本工業規格JIS Q27000:2014
機密性とは簡単に言うと「決められた人だけが対象のデータにアクセスできるようにする」ことです。
誰が「極秘情報」にアクセスできるのか?
アクセスといっても「追加できる」「参照できる」「変更できる」「削除できる」などありますが
たとえば
- 重役だけアクセスできる。
- システム室の担当だけアクセスできる。
- 人事部の担当だけがアクセスできる。
- 新入社員(入社一年目)はアクセスできない。
大事な情報を他人に見らないようにすることです。要は「極秘情報」の取り扱い方(ルール)になります。
パソコンから特定の情報をアクセスするとか、コンピューター室、研究室(施設)や、特定のエリアに入出するときに「ID」「パスワード」で管理することにより、情報の漏洩を防ぎリスクが減らせます。
完全性(Integrity)
2.40 完全性(integrity)正確さ及び完全さの特性。
日本工業規格JIS Q27000:2014
完全性とは簡単に言うと「情報が正しく保たれている」ことです。
提供する情報が正しいとは
- ホームページやファイルの内容が悪意をもって変更されていないこと。
- 地震や火災、他人からの攻撃によって情報が破壊された場合に、バックアップより復元できること。
- 操作ミスにより情報が変更されることを防ぐこと。
- プログラムのバクにより誤って情報が変更になった場合のリカバリーができること。
とりあえず、情報に問題が発生したら元に戻せることですね。
可用性(Availability)
2.9 可用性(availability)認可されたエンティティが要求したときに,アクセス及び使用が可能である特性。
日本工業規格JIS Q27000:2014
可用性とは簡単に言うと「情報がいつでも提供して、いつでも利用できる」ことです。
いつでも情報が利用できるとは
- コンピューターやネットワークに障害が発生しても代替えコンピュータに切り替えて安全に運用が続けられること。
- 停電など起きてもUPS(無停電電源装置)で電源供給してコンピュータが安全に運用できること。
また、ホームページは「本番用」と「サブ用」を構築しておいて、何か問題があった場合に「本番用」を停止して「サブ用」を「本番用」に切り替えて運用していました。
「機密性」、「完全性」、「可用性」について、自分だったらこんなことができるなとイメージできれば理解しやすいと思います。