|
Information Security
「情報の機密性、完全性、可用性の維持」*1
- 機密性(Confidentiality)
- アクセスを認可された(authorized)者だけが情報にアクセスできることを確実にすること。
- 完全性(Integrity)
- 情報及び処理方法が、正確であること及び完全であることを保護すること。
- 可用性(Availability)
- 認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること。
機密性
完全性
- 完全性の3つの目的
- 権限のないユーザーによる変更を避ける
Prevent unauthorized users from making modifications
- 権限のあるユーザーによる不適切な変更を避ける
Prevent authorized users from making improper modifications
- 内部と外部の一貫性を維持する
Maintain internal and external consistency
- Clark-Wilsonモデル
- 多階層セキュリティモデル*2のうち、データの守秘性よりも整合性を重視したモデル。
可用性
- 情報資産の保護
- 顧客からの信頼獲得
- 競争力、収益力の維持・向上
リスクの発生
リスク = 情報資産 + 脅威 + 脆弱性
- 情報資産
- 情報セキュリティの中で保護されるべき対象
- 脅威
- 情報資産が明確になれば、それに対する脅威も明確になる。
- 脆弱性
- 情報資産に対する脅威を顕在化させる状況。
- 情報資産ごとに脅威が異なるので、セキュリティ対策には情報資産管理台帳の作成が必要不可欠。
脅威
- 物理的脅威
- 火災
- 地震
- 落雷(停電)
- 機器の故障
- 過失による機器、データの破壊
- 侵入者による物理的な破壊、盗難
- 技術的脅威
- コンピュータウイルス
- 不正アクセス
- DoS攻撃(サービス妨害)
- ネットワーク盗聴
- 人的脅威
アクセス制御
アクセス制御モデル
- グラハム・デニングモデル(Graham Denning Model)
- オブジェクトの集合、サブジェクトの集合、権限の集合の三つの部分からなり、また八つの初期権限を定義するアクセス制御モデル。
|
|