この記事では、情報セキュリティについて、そもそもセキュリティって?
というところから説明したいなと思います。
Contents
セキュリティって?
セキュリティという言葉を調べてみると、「安心」や「防犯」という意味が出てきます。
確かに、セキュリティは万全です!と言われると、防犯対策を万全にしていると理解できます。
では、頭に「情報」がつく、情報セキュリティとは何でしょうか?
情報セキュリティって?
そもそも、情報とは何でしょうか?
定義が難しいですが、ここでは、何かを表す文章や数字などの内容だとしましょう。つまり、何かを表現したものですね。
そして情報資産という言葉もよく聞く様になりました。
情報資産とは、組織にとって価値のある情報、自分たち以外に漏れてはいけない情報のことです。つまり、組織にとって価値のある何かを表現したものと言えます。
情報セキュリティとは、情報資産を防犯することだと言えます。
防犯対策、 または防犯対策の取り組み自体を、情報セキュリティとも言えるでしょう。
どうして必要?
最近は情報流出や盗難、社員の持ち出しなどによる事件をよく見かけるようになりました。
現代において、情報資産はその時折で、物よりも価値がある場合があります。
例えば企業にとって、1億円の現金が盗まれるのと、全ての顧客情報が流出するのは、どちらが重大でしょうか?
組織によりますが、情報流出の方が重大と考える企業もいるでしょう。
そのため、最近は情報セキュリティの重要性が認識されています。
ISO/IEC 27000とは?
じゃあ情報セキュリティの対策をしよう!と意気込むものの、どう対応すべきか難しいですよね?
そのため、こう対策すべきだよ!という基準が国際的に定められています。
それがISO/IEC 27000シリーズと呼ばれる国際規格群です。
ISO?
ISOは、国際標準化機構(International Organization for Standardization)の略です。名前の通り、 色々なものに関する、世界で統一された基準を作成する団体です。
IEC?
IECは、国際電気標準会議(International Electrotechnical Commission) の略です。その名の通り、電気関係に関するいろいろな基準を決めるための、議論をする団体です。
ISOとIECが一緒になって、電気関係の基準を決めてそれを文章や資料にし、世界で統一された基準を作っているのです。
ISO/IECによって作られている沢山の基準のうち、情報セキュリティに関するものも、もちろん作ってくれています。
それが、 ISO/IEC 27000 シリーズなのです。
ISO/IEC 27000 シリーズ?
ISOとIECは分かったし、情報セキュリティに関する基準は27000という番号で管理されてるのね、というのは分かったけど、シリーズってなに?
ってなりますよね。
じつは情報セキュリティに関する資料は沢山あり、複数に分かれているため、ISO/IEC 27000シリーズと言えるのです。
単にISO/IEC 27000ということもありますが、私は分かりずらいので、資料全体をさす場合はISO/IEC 27000シリーズと呼んでいます。
ISO/IEC 27000 シリーズの構成
それでは、 ISO/IEC 27000シリーズ はどのような構成になっているのでしょうか?
情報マネジメントシステム認定センターという組織が公表しているISO/IEC 27000ファミリーについてという資料では、画像の様になっています。
ISO/IEC 27000は、情報セキュリティに関する用語の説明をした資料です。
ISO/IEC 27001は、情報セキュリティで実施すべき要求事項をまとめた資料です。
ISO/IEC 27002は、ガイドラインとある様に、実施例などを交えて、実際に情報セキュリティを実施する上での注意点などをまとめた資料です。
他にも ISO/IEC 270017は、情報セキュリティをクラウド環境で実施する上でガイドライン資料です。
これらをまとめて私は ISO/IEC 27000シリーズと呼んでいます。
情報マネジメントシステム認定センターとは?
情報セキュリティを実施するための国際規格がISO/IEC 27000シリーズであることは分かりました。
ですが、実際にISO/IEC 27000シリーズに沿って情報セキュリティを実施しても、誰かに実施していることを証明してもらわないといけません。
証明してもらわないと、「あの会社は情報セキュリティを実施してるっていうけど、保証がないからなぁ」となってしまいます。
そのため、「 ISO/IEC 27000シリーズ に沿って情報セキュリティを実施してますよ!」を証明するための、認証制度を管理している団体が、情報マネジメントシステム認定センターです。
認証には、センターに「情報セキュリティを格好だけでなく、ちゃんと実施して取り組んでいますね」と認められる必要があります。
この情報セキュリティの取り組みを、「情報セキュリティマネジメントシステム(ISMS: Information Security Management System ) 」といいます。
また、この認証制度の事をISMS適合性評価制度といいます。
ですので、「ISMSを取得した」と言われたら、 ISO/IEC 27000シリーズに従って情報セキュリティを実施していて、第三者機関に認められたんだなぁと思ってください。
分かりずらいですね(笑)
CIA?
やっとタイトルの内容にたどり着きました。
情報セキュリティの中で、CIAという言葉を聞いたことがないでしょうか?
CIAは
・機密性(Confidentiality)
・完全性(Integrity)
・可用性(Availability)
の3つの頭文字をとったものです。情報セキュリティを実施する上で、CIAについて、JIS Q 27001 で記述されています。
「ISMSは,リスクマネジメントプロセスを適用することによって情報の機密性,完全性及び可用性を維持し,かつ,リスクを適切に管理しているという信頼を利害関係者に与える。」
JIS Q 27001とは… ISO/IEC 27001を和訳したものです。
また、総務省のHPでは、気密性、完全性、可用性を以下の様に説明しています。
- 機密性
機密性(Confidentiality)とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。 - 完全性
完全性(Integrity)とは、保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊されたりしないことを指します。 - 可用性
可用性(Availability)とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作するということを表します。
機密性は、利用者制限とかですね。例えば、管理職は社員情報を閲覧できるが、一般社員は見れないように設定するなどです。
完全性は、例えば、機密情報は原則編集不可とする、データ編集時は必ずダブルチェックを行うなどです。
可用性は、例えば、外出先からでも社内のデータベースに、許可された社員のみがアクセスできるようにVPNを設定する、サーバに常にアクセスできるようセカンダリサーバを用意するなどです。
このCIAとは何かというと、情報セキュリティを実施する上で満たすべき性質と言えます。
どれか1つを満たせばよいものではなく、3つとも確保することで、情報セキュリティを担保できます。
例えば、 社内ネットワークやサーバも冗長構成で常に動作するように設計し、利用者権限もしっかり設定しても、業務で使用するデータが間違っていると業務になりませんし、誤った情報を使用することで情報漏洩になる可能性もあります。
まとめ
結論として、
CIAは、「情報セキュリティを実施する上で満たすべき性質 」ですし、
情報セキュリティは、「CIAを満たすようにする情報資産に対する防犯対策」です。
情報セキュリティを実施するための基準が「ISO/IEC 27000シリーズ 」で、
ISO/IEC 27000シリーズに従った取り組みのことを「ISMS」といい、
情報セキュリティの実施を認証する制度が「ISMS適合性評価制度 」です。