情報セキュリティの概念
サイバー空間とサイバー攻撃
Section titled “サイバー空間とサイバー攻撃”インターネットやコンピュータネットワークが形づくる仮想的な世界をサイバー空間と呼びます。私たちは日常的にメール、SNS、オンラインショッピングなどを通じてサイバー空間を利用しています。現代社会では、企業の業務システムや行政サービスもサイバー空間上で動いており、もはや現実世界と切り離せない存在になっています。
サイバー空間が広がるにつれ、そこを狙った攻撃も増加しています。ネットワークを通じて情報を盗んだり、システムを停止させたりする行為をサイバー攻撃といいます。サイバー攻撃は企業活動に大きな損害を与えるだけでなく、個人の生活にも影響を及ぼすため、適切な対策が不可欠です。
こうした脅威から情報やシステムを守るための考え方・取り組み全般を情報セキュリティと呼びます。
情報セキュリティの三大要素(CIA)
Section titled “情報セキュリティの三大要素(CIA)”情報セキュリティを考えるうえで、最も基本となるのが機密性・完全性・可用性の3つの要素です。それぞれの英語の頭文字をとってCIAとも呼ばれます。
機密性(Confidentiality)
Section titled “機密性(Confidentiality)”機密性とは、許可された人だけが情報にアクセスできる状態を保つことです。
たとえば、社内の人事評価データに一般社員がアクセスできてしまうと問題です。アクセス制御やパスワード管理によって、情報を見てよい人だけが閲覧できるようにすることが機密性の確保にあたります。
具体的な対策例:アクセス権の設定、パスワードによる認証、データの暗号化
完全性(Integrity)
Section titled “完全性(Integrity)”完全性とは、情報が改ざんされたり破壊されたりせず、正確な状態を保っていることです。
たとえば、銀行の口座残高データが知らないうちに書き換えられてしまったら大変です。データの変更履歴を記録したり、デジタル署名で改ざんを検知したりすることで完全性を確保します。
具体的な対策例:アクセス権の設定、変更履歴の管理、デジタル署名
可用性(Availability)
Section titled “可用性(Availability)”可用性とは、許可された人が必要なときにいつでも情報やシステムを利用できる状態を保つことです。
たとえば、オンラインバンキングがシステム障害で使えなくなると、利用者は困ってしまいます。システムの二重化やバックアップの確保などによって、サービスを安定的に提供し続けることが可用性の確保です。
具体的な対策例:システムの二重化(冗長化)、定期的なバックアップ、UPS(無停電電源装置)の設置
三大要素の対比
Section titled “三大要素の対比”| 要素 | 意味 | ひとことで | 対策例 |
|---|---|---|---|
| 機密性 | 許可された人だけがアクセスできる | 「見せない」 | アクセス制御、暗号化 |
| 完全性 | 情報が正確で改ざんされていない | 「変えさせない」 | デジタル署名、変更履歴管理 |
| 可用性 | 必要なときに使える | 「止めない」 | システムの二重化、バックアップ |
試験で出るポイント
機密性と可用性のトレードオフ
Section titled “機密性と可用性のトレードオフ”機密性と可用性は、互いに反する側面を持っています。
たとえば、機密性を高めるために厳しいアクセス制限をかけると、正当な利用者でもすぐに情報を利用できなくなり、可用性が下がります。逆に、可用性を高めるために誰でもアクセスしやすくすると、機密性が損なわれるおそれがあります。
情報セキュリティでは、この3つの要素をバランスよく確保することが重要です。業務内容や扱う情報の性質に応じて、どの要素をどの程度重視するかを検討する必要があります。
試験で出るポイント
情報セキュリティの7要素
Section titled “情報セキュリティの7要素”CIAの三大要素に加えて、さらに4つの特性を追加した情報セキュリティの7要素という考え方があります。三大要素だけではカバーしきれない側面を補うものです。
真正性(Authenticity)
Section titled “真正性(Authenticity)”真正性とは、利用者やデータが「本物である」ことを確認できる特性です。
たとえば、ログインしてきたユーザーが本当にその人なのかを確認することが真正性の確保にあたります。IDとパスワードによる認証や、生体認証(指紋・顔認証など)がその手段です。
責任追跡性(Accountability)
Section titled “責任追跡性(Accountability)”責任追跡性とは、「誰が・いつ・何をしたか」を追跡できる特性です。
たとえば、システムへのアクセス履歴(ログ)を記録しておくことで、問題が発生したときに原因を特定し、責任の所在を明らかにできます。
否認防止(Non-repudiation)
Section titled “否認防止(Non-repudiation)”否認防止とは、ある行為を行った人が「自分はやっていない」と後から否定できないようにする特性です。
たとえば、電子契約にデジタル署名を付与しておけば、署名した本人が後から「自分は署名していない」と主張することを防げます。
信頼性(Reliability)
Section titled “信頼性(Reliability)”信頼性とは、システムやデータ処理が意図した通りに正しく動作する特性です。
たとえば、計算プログラムにバグがあり、間違った結果を出力してしまうと信頼性が損なわれます。ソフトウェアのテストを十分に行い、正しく動作することを保証することが信頼性の確保です。
7要素のまとめ
Section titled “7要素のまとめ”| 要素 | 意味 | 具体例 |
|---|---|---|
| 機密性 | 許可された人だけがアクセスできる | アクセス制御、暗号化 |
| 完全性 | 情報が正確で改ざんされていない | デジタル署名、変更履歴管理 |
| 可用性 | 必要なときに利用できる | システムの二重化、バックアップ |
| 真正性 | 利用者やデータが本物である | 本人認証、生体認証 |
| 責任追跡性 | 誰が何をしたか追跡できる | アクセスログの記録 |
| 否認防止 | 行為を後から否定できない | デジタル署名、タイムスタンプ |
| 信頼性 | システムが正しく動作する | ソフトウェアテスト、品質管理 |
試験で出るポイント
情報セキュリティリスク
Section titled “情報セキュリティリスク”情報セキュリティリスクとは、脅威が情報資産の脆弱性を突くことで、組織に損害を与える可能性のことです。
ここでいう「脅威」とは、情報資産に悪影響を与えうる要因(サイバー攻撃、自然災害、人的ミスなど)を指します。「脆弱性」とは、システムや運用体制に存在する弱点のことです。脅威と脆弱性が組み合わさったとき、リスクが現実のものとなります。
たとえば、「社内ネットワークにファイアウォールが設定されていない(脆弱性)」状態で「外部からの不正アクセス(脅威)」があると、情報漏えいという損害が発生するリスクが高まります。
情報セキュリティ対策とは、このリスクを許容できるレベルまで下げるための取り組みです。
情報セキュリティインシデント
Section titled “情報セキュリティインシデント”情報セキュリティインシデントとは、情報セキュリティに関する事故や問題のことです。具体的には、情報セキュリティを脅かす事象が実際に発生した状態を指します。
情報セキュリティインシデントの例としては、次のようなものがあります。
- 不正アクセスによる個人情報の漏えい
- マルウェア(ウイルスなど)への感染
- 従業員による機密データの持ち出し
- サーバーへの攻撃によるサービス停止
- USBメモリの紛失による情報漏えい
インシデントが発生した場合、被害の拡大を防ぐために迅速な対応が求められます。そのためには、あらかじめインシデント発生時の対応手順を決めておくことが大切です。
試験で出るポイント