情報情報セキュリティの概要 - 情報セキュリティ|Systems Engineer Wiki
Systems Engineer Wiki
訪問者:31,777,529 人目
情報情報セキュリティの概要
投稿日:2015-01-01 05:25:40
私たちの身近には、様々な形式の情報があります。 電子媒体の形式を取る物、またはそれ以外の形式を取る物(紙媒体、TV、ラジオ等)を含めこの全てを情報と呼びます。 これら全ての情報は、正当な物という有無を別として、何らかの「危険にさらされている」可能性があると考えられます。危険にさらされている情報を適切な方法で守る事を情報セキュリティと言います。
情報セキュリティ
情報セキュリティとは、組織や情報システムまたはネットワークで起こりうる危険(成り済まし、不正アクセス、盗難、盗み見、情報漏洩、侵入、事故等)を未然に防止する為、または被害を最小限にする為に何らかの対策を施策することを意味します。
ノート
JIS Q 27002 : 2006 情報の機密性、完全性及び可溶性を維持すること。さらに、真生性(しんせいせい)、責任追跡性、否認防止及び信頼性のような特性を維持することと含めてもよい。
情報資産
情報資産とは、情報および情報を管理する仕組み(情報システム、システム開発、運用・保守する為の資料等)
脆弱性
脆弱性とは、脅威が発生する可能性がある情報資産や情報資産を含むシステムの弱点を意味します。 脆弱性は可能な限り最小化することで脅威を低減可能ですが、情報資産の重大度などにより脅威の内容が異なる事に注意が必要です。
脅威
脅威とは、情報資産を保持(所有)する組織や情報システムなどに損害を与える可能性がある出来事を示します。 情報セキュリティでは、このような脅威の事をセキュリティインシデントと呼びます。 セキュリティインシデントには、技術的、人的、物理的等数多くの物が存在します。
情報セキュリティ対策
情報セキュリティ対策とは、組織が保持する情報資産に対してリスクの評価を行い、その評価により定められた脅威毎のリスクの大きさと要求されるセキュリティ水準を比較することで、情報セキュリティ対策の方針が定められます。その際、算定されたリスクの大きさを基準として、脅威の発生頻度や発生時の被害の大きさを低減し、セキュリティ対策の要求水準を満たす対策基準を定める事が必要です。
ノート
機密性:情報セキュリティに何らかの被害が発生した場合、どのように情報資産を守る事が出来るか。 完全性:どのように情報を改ざんされないようにするか。 可用性:出来る限り正続して利用することが出来るか。
PDCAサイクルに沿った情報セキュリティの実施
情報技術の進歩は非常に早いため、情報セキュリティ対策を実施した時の内容が将来にわたって最適な対策てあるとは考えにくい。例えば、ハードウェアやソフトウェアの導入に関していえば、導入時には適切な情報セキュリティ対策であると思えても、その効果は継続的に保証される事はありません。情報セキュリティは、情報セキュリティポリシーの策定やそれに続く日々の継続的な対策によって確保されるものだからです。 その為、情報セキュリティ対策は一度策定すれば済むという訳ではなく定期的に見直しや必要に応じて内容の変更を行う必要があります。 情報セキュリティ対策の策定や実施は、PDCA(Plan - Do - Check - Act)サイクルに沿って継続して行う必要があります。
CSR(Corporate Social Responsibility)
CSR(Corporate Social Responsibility)とは、企業が社会に与える影響を把握し、顧客等の利害関係者の要望に応える事で社会への責任を果たし、情報セキュリティに関する管理体制を構築し、個人情報の漏洩などの事故を発生させないようにすること。