【情報セキュリティ】情報セキュリティの基本
情報セキュリティとは?
大きく2つに分類される。
物理的セキュリティ
物理的なセキュリティ対策。例えば
- 耐震設備
- 防火設備
- 入退室管理設備
論理的セキュリティ
論理的なセキュリティ。雑に言うと物理的なセキュリティ以外。
というと広すぎるので更に3分類
システム的セキュリティ
システムでの対策。例えば
- アクセス制御
- 認証
- 暗号化
- マルウェア対策
管理的セキュリティ
組織、システムの運用管理面で対策。例えば
- 監査
- 運用ルール整備
人的セキュリティ
操作ミス、事故など人災に対する対策。例えば
- 委託契約の厳密管理
- セキュリティ教育
- 操作訓練
情報セキュリティの規格
ISO/IEC27000ファミリー
情報セキュリティマネージメントシステム(ISMS : Information Security Management System)に関する国際規格
JIS Q 27000 ファミリー
ISO/IEC27000ファミリーとほぼ同じもの。国内規格版。
何が書いてあるのか?
ISO/IEC27000には
情報の機密性、安全性及び可用性を維持すること。
JIS Q 27000には上記に加え
さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含める。
とある。
つまり「〇〇性」のところが大事だよーんってこと。
一個づつ解説していきます。
3つの特性
情報セキュリティで重要な3つの特性。
ただし、全部完璧にやってやる!というのはNG。
情報やシステムの特性をとらえ、適切なレベルで取り組むのが大事。
(加減が一番むずかしいのがセキュリティ。)
機密性(Confidentiality)
情報に対してアクセス権限がある人だけがアクセス可能にする特性。 アクセス制御、認証、暗号化で確保する。
完全性(Integrity)
データの正当性、正確性、網羅性、一貫性を維持する特性。
よくDB製品がうたってるやつだけど、それが全てではない。
データチェックやデジタル署名など改ざん検知もこれを高める仕組み。
可用性(Availability)
サービスをいかなるときも提供出来る特性。
システムを二重化したり、システムリソースを十分に確保している対策。
追加4つの特性
JIS Q 27000に追加で定義された4つの特性
真正性(Authenticity)
利用者が本当に本人であることが保証する特性。 二段階認証、ICカード、生体認証、XSS対策で確保する。
責任追跡性(Accountability)
利用者アクセス、プロセス、システムの動作について追跡が出来る。
アクセスログ、アプリケーションのログ、アクセス可能な部屋の入退室を管理するなどで確保。
否認防止(Non-Repudiation)
行った操作をあとで否認されないように証明出来るようにする。
よく、新規ユーザ登録などで規約表示したあと、「確認しました」にチェックを入れたりするやつ。
システムでその証跡の完全性を確保することが必要となる。改ざんできちゃったら意味がない。
信頼性(reliability)
システムの処理結果に矛盾がなく整合が取れている特性。
信頼性が低くなるのは主にバグが原因なので、テストしっかりしろよって
ここにきて急に当たり前のはなし。
