コラム・編集後記
情報セキュリティのCIA+4要素
JIS Q 27000:2019で、情報セキュリティは「機密性(Confidentiality)」、「完全性(Integrity)」及び「可用性(Availability)」を維持することと定義されています。これら3つの要素(CIA)をバランスよく維持することは、セキュリティを担保する上では欠かせません。また、さらに以下の4つの要素を追加して、情報セキュリティの7要素とする場合もあります。より高度なISMSの構築につながる要素のため、ここで紹介します。
-
真正性(Authenticity)
情報にアクセスする人や端末が「本当に許可されているかどうか」を確実にすることを指します。多要素認証やデジタル署名など、認証方法を強化することが対策として考えられます。 -
信頼性(Reliability)
データやシステムを利用する際、意図した動作と結果が得られることを担保することを指します。不具合がないようにシステム構築を行うことや、ヒューマンエラーが起きないようなルール整備などが対策として考えられます。 -
責任追跡性(Accountability)
情報へのアクセスが、誰によってどのような手順で行われたのかを後から証明できるようにしておくことを指します。ログの取得や、デジタル署名などが対策として考えられます。 -
否認防止性(Non-repudiation)
問題発生後に、その原因となった人物から否定されないよう、後から証明できるようにしておくことを指します。先に説明した責任追跡性を担保することが対策につながります。
CIAの3要素だけでなく、上記の4要素も加えることで、より抜け漏れがないセキュリティ対策が期待できます。
編集後記
セミナーの5日目では、以下の内容について解説しました。(セキュリティポリシーの概要とサイバーセキュリティ対策のアプローチ方法、ISMSの管理策の概要、リスクマネジメントに関する用語について)このセミナーを通じて、状況に応じて適切なサイバーセキュリティ対策のアプローチ手法を選択できるようになり、またISMSの管理策の構造やリスクマネジメントで使用される用語を理解していただければと思います。
本テキストでは、最初にセキュリティポリシーの構成(「基本方針」「対策基準」「実施手順・運用規則等」)について説明しました。そして、企業が現在の状況や目標に合わせた「対策基準」を策定する際に活用できる、レベル感の異なる3つのアプローチ手法( Lv.1 クイックアプローチ、Lv.2 ベースラインアプローチ、Lv.3 網羅的アプローチ)を紹介しました。
その後、ISMSの管理策を示した規格であるISO/IEC 27002について説明しました。具体的には、ISO/IEC 27002に記載されている93の管理策は、テーマと呼ばれる4つのカテゴリ(「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」) に分類されることを説明しました。また、各管理策に属性というものが付与されたことで、管理策のフィルタリング、並び替え、提示がしやすくなったことを説明しました。
最後に、次回解説するリスクマネジメントを理解するために必要となる「リスク」、「脆弱性」、「脅威」といった用語の定義と関係性、さらに「脅威」、「脆弱性」の識別方法について説明しました。脅威や脆弱性、リスクなどの関係性は、図を用いて表し、具体例も合わせて説明しました。 また、「脅威」、「脆弱性」を識別し、一覧表を作成するための考え方を説明しました。
次回は、リスク基準の策定から、リスクマネジメントについて解説します。