「情報セキュリティ」とは何か?
情報セキュリティは、「情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい」(JIS Q27002)と定義されています。
ここで挙げられている7つの特性の定義は、下記(図表1)の通りです。
図表1:情報セキュリティの定義
このうちの3つの要素「機密性」「完全性」「可用性」が、「情報セキュリティの3要素」(図表2)として、よく「(情報セキュリティの)CIA」と言われています。
図表2:情報セキュリティの3要素
「機密性」の維持とは、情報が権限を持たない人が見たり利用したりできないようにすることです。機密性が維持できない状態では、被害や影響として「情報漏えい」が発生します。
「完全性」の維持とは、情報が権限を持たない人に書き換えられたり消されたりしないようにすることです。完全性が維持できていない状態では、被害や影響として「情報の改ざん」等が発生します。
「可用性」の維持とは、情報や情報機器(PCやスマートデバイスなど)、情報システム等が利用したい時に利用できるようにすることです。可用性が維持できていない状態では、被害や影響として「システムや業務の停止」が発生します。
これらが維持できていれば、情報セキュリティが保たれた状態であると言えますし、維持できていなければ、リスクが発生しやすい状態であると言えるわけです。
