情報セキュリティ対策は、何をすればいいのか分からない」、「どこまでやったらいいのか分からない」という声をよく聞きます。前回で説明したとおり、情報セキュリティで何をどこまでやればよいかは、組織によって異なってきます。また、それを知るためには、そのための判断のより所が必要となります。今回は、その判断のより所となる、情報セキュリティのアプローチについて説明したいと思います。
「情報セキュリティの3要素」(機密性、完全性、可用性)のバランスを考える
まずは、「情報セキュリティの3要素」の「機密性」「完全性」「可用性」のバランスを考えなければなりません。そして、情報セキュリティでは、何か1つだけの要素を考慮するのではなく、それぞれの要素を検討し、そのバランスを考慮することが必要となります。なぜならば、これらの要素が相互依存関係にあるためです。
たとえば、システムの管理者のパスワード等の情報が漏えいする(「機密性」が失われる)と、その情報を悪用してシステム内の重要情報が改ざんされる(「完全性」が失われる)などの被害が起こることがあります。また、システム自体の完全性が失われてしまうと、パスワード等の情報が正確に機能しているということを合理的に説明ができなくなってしまうことがあり、機密性が失われてしまうことになります。このように何か1つの要素が失われることにより、他の要素に影響し連鎖的に被害や影響が起こることがあるのです。
この記事は参考になりましたか?
- この記事の著者
-
株式会社ラック 長谷川 長一(カブシキガイシャラック ハセガワ チョウイチ)
株式会社ラック セキュリティアカデミー プロフェッショナルフェローソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。政府機関やIT資格団体等の委員も務めている。主な所有資格は、CISSP。主な著書(共著)は、「情報セキュリティプ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア