情報セキュリティ

情報セキュリティの最新ニュースをまとめて検索！

情報セキュリティ（じょうほう-）とは、情報の機密性、完全性、可用性を維持すること。

[編集] 定義

[編集] 通常の定義

情報セキュリティは、JIS Q 27002（すなわちISO/IEC 27002）によって、情報の機密性、完全性、可用性を維持することと定義されている^[1]。それら三つの性質の意味を分かりやすく説明すると、次のようである^[2]。

• 機密性 (confidentiality): アクセスを認められた者だけがアクセスできる状態を確保すること
• 完全性 (integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること
• 可用性 (availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること

これら三つを、英語の頭文字を取って、情報のCIAということもある。可用性は、利便性と考えると分かりやすいかもしれない。

JIS Q 27001 では、これらを次のとおりに定義している。より広範囲に適用できるように抽象的な表現になっているので分かりにくいかもしれない。これらは、ISO/IEC 27001 の定義を翻訳したものである。ここで、エンティティとは、団体などを指す。

• 情報セキュリティ (information security): 情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい。
• 機密性 (confidentiality): 許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性
• 完全性 (integrity): 資産の正確さ及び完全さを保護する特性
• 可用性 (availability): 許可されたエンティティが要求したときに、アクセス及び使用が可能である特性

[編集] 拡張した定義

上記の情報セキュリティの定義は、もともとOECDのSC21が1992年に与えたものである。その後、OECDでは、SC27が1998年にさらに三つの性質（真正性、責任追跡性、信頼性）を付け加え、ISOではさらに一つの性質（否認防止）を加えている。それら四つの特性の意味は、次のとおりである^[3]。

• 真正性 (authenticity): ある主体又は資源が、主張どおりであることを確実にする特性。真正性は、利用者、プロセス、システム、情報などのエンティティに対して適用する。
• 責任追跡性 (accountability): あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できる事を確実にする特性
• 否認防止 (non-repudiation): ある活動又は事象が起きたことを、後になって否認されないように証明する能力
• 信頼性 (reliability): 意図した動作及び結果に一致する特性

真正性を分かりやすく説明すると、「情報システムの利用者が、確実に本人であることを確認し、なりすましを防止すること」である。

JIS Q 27002 (ISO/IEC 27002) では、上記のとおり、情報セキュリティにこれら四つの「ような特性を維持することを含めてもよい」としている。つまり、JISに従う限り、これらを情報セキュリティの特性に含めなくてもよい。

[編集] 用語

情報セキュリティに関して使用される次の用語（概念）がある。

• リスク (risk): リスクとは何かしらの損失を発生させる事態や状況への可能性のことである。また、考えられる脅威を分析した結果として認識される損失発生の可能性（リスク因子）を指すこともある。リスクの分析をリスク分析という。
• 脆弱性 (vulnerability): 脆弱性とは、リスクを発生させる原因のことである。
• 脅威 (threat): 脅威とは、脆弱性を利用 (exploit) して、リスクを現実化させる手段のことである。自然災害も含まれる。
• インシデント (incident): 発生する可能性の高い脅威。
• 対抗策 (countermeasure): 対抗策（対策）とは、脅威がリスクを現実化することを抑止（最小化）しようとする手段のことである。

JIS Q 27001 では、これらを次のとおりに定義している。より広範囲に適用できるように抽象的な表現になっているので分かりにくいかもしれない。これらは、ISO/IEC 27001 の定義を訳したものである。

• リスク (risk): 事象の発生確率と事象の結果との組合せ。
• 脆弱性 (vulnerability): 一つ以上の脅威がつけこむことができる、資産または資産グループがもつ弱点。
• 脅威 (threat): システムまたは組織に損害を与える可能性があるインシデントの潜在的な原因。
• 情報セキュリティインシデント (information security incident): 望まない単独もしくは一連の情報セキュリティ事象、または予期しない単独もしくは一連の情報セキュリティ事象であって、事業運営を危うくする確率および情報セキュリティを脅かす確率が高いもの。
• 情報セキュリティ事象 (information security event): システム、サービスまたはネットワークにおける特定の状態の発生。特定の状態とは、情報セキュリティ基本方針への違反もしくは管理策の不具合の可能性、またはセキュリティに関連するかもしれない未知の状況を示していることをいう。
• リスク対応 (risk treatment): リスクを変更させるための方策を、選択および実施するプロセス。

[編集] 脚注

1. ^ 情報セキュリティ対策マネジメント標準 (JIS X 5080, ISO/IEC 17799) (pdfファイル) - 現 JIS Q 27002, ISO/IEC 27002.
2. ^ 情報セキュリティ政策会議「政府機関の情報セキュリティ対策のための統一基準(第3 版)」内閣官房情報セキュリティセンター (NISC)、2008年2月4日
3. ^ JIS Q 13335-1:2006 情報技術―セキュリティ技術―情報通信技術セキュリティマネジメン ト―第1部：情報通信技術セキュリティマネジメントの概念及びモデル.

[編集] 関連項目

• 情報セキュリティマネジメントシステム
• 情報セキュリティポリシー
• 保安
• コンピュータセキュリティ
• ネットワーク・セキュリティ
• 機密
• ISO/IEC JTC 1/SC 27

	この項目「情報セキュリティ」は、調べものの参考にはなる可能性がありますが、まだ書きかけの項目です。加筆、訂正などをして下さる協力者を求めています。
このテンプレートは分野別のスタブテンプレート（Wikipedia:スタブカテゴリ参照）に変更することが望まれています。