Top > 情報セキュリティ

Information Security

情報セキュリティとは

「情報の機密性、完全性、可用性の維持」*1

機密性(Confidentiality)
アクセスを認可された(authorized)者だけが情報にアクセスできることを確実にすること。
完全性(Integrity)
情報及び処理方法が、正確であること及び完全であることを保護すること。
可用性(Availability)
認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること。

機密性

完全性

  • 完全性の3つの目的
    1. 権限のないユーザーによる変更を避ける
      Prevent unauthorized users from making modifications
       
    2. 権限のあるユーザーによる不適切な変更を避ける
      Prevent authorized users from making improper modifications
       
    3. 内部と外部の一貫性を維持する
      Maintain internal and external consistency
       
  • Clark-Wilsonモデル
    • 多階層セキュリティモデル*2のうち、データの守秘性よりも整合性を重視したモデル。

可用性

情報セキュリティの目的

  1. 情報資産の保護
  2. 顧客からの信頼獲得
  3. 競争力、収益力の維持・向上

リスクの発生

リスク = 情報資産 + 脅威 + 脆弱性

情報資産
情報セキュリティの中で保護されるべき対象
脅威
情報資産が明確になれば、それに対する脅威も明確になる。
脆弱性
情報資産に対する脅威を顕在化させる状況。
  • 情報資産ごとに脅威が異なるので、セキュリティ対策には情報資産管理台帳の作成が必要不可欠。

脅威

  • 物理的脅威
    • 火災
    • 地震
    • 落雷(停電)
    • 機器の故障
    • 過失による機器、データの破壊
    • 侵入者による物理的な破壊、盗難
  • 技術的脅威
    • コンピュータウイルス
    • 不正アクセス
    • DoS攻撃(サービス妨害)
    • ネットワーク盗聴
  • 人的脅威

アクセス制御

アクセス制御モデル

  • グラハム・デニングモデル(Graham Denning Model)
    • オブジェクトの集合、サブジェクトの集合、権限の集合の三つの部分からなり、また八つの初期権限を定義するアクセス制御モデル。


*1 日本情報処理開発協会のISMS認証基準Ver.2.0の定義による
*2 情報を階層付けて、階層間のアクセスを制限するセキュリティモデル

リロード   凍結解除 差分 コピー 名前変更   ホーム 一覧 検索 最終更新 バックアップ リンク元   ヘルプ   最終更新のRSS
Last-modified: Mon, 10 Jun 2013 15:39:17 JST (1893d)