TOP情報セキュリティ> 情報セキュリティマネジメントとは
CSR
企業の社会的責任に必要な情報セキュリティマネジメント

第3回:情報セキュリティマネジメントの概要と実施のポイント
著者:みずほ情報総研   牛尾 浩平   2006/6/15
1   2  3  4  次のページ
情報セキュリティマネジメントとは

   今回から、情報セキュリティマネジメントについて説明するが、まずはその概要を説明する。

   情報セキュリティマネジメントとは、「Plan(計画) → Do(実施) → Check(点検) → Act(処置)」のPDCAサイクルの中で、情報の機密性、完全性および可用性(さらには、真正性、責任追及性、否認防止、信頼性のような特性)を維持し、向上させることである(表1)。
機密性(confidentiality)
認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性。

完全性(integrity)
資産の正確さ及び完全さを保護する特性。

可用性(availability)
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

真正性(authenticity)
ある主体又は資源が、主張どおりであることを確実にする特性。真正性は、利用者、プロセス、システム、情報などのエンティティに対して適用する。

責任追及性(accountability)
あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性。

否認防止(non-repudiation)
ある活動又は事象が起きたことを、後になって否認されないように証明する能力。

信頼性(reliability)
意図した動作及び結果に一致する特性。

表1:JIS Q 13335-1:2006における情報セキュリティに関連する用語の定義
出所:JIS Q 13335-1:2006 情報通信技術セキュリティマネジメント
第1部:情報通信技術セキュリティマネジメントの概念及びモデル

   PDCAサイクルの各フェーズにおける実施事項の例を図1に示す。

情報セキュリティマネジメントにおける実施事項の例
図1:情報セキュリティマネジメントにおける実施事項の例

   情報セキュリティマネジメントを実施する際には(特にPlanやAct)、表2に示す留意点を踏まえて対応する。

安全性と利便性はトレードオフの関係
情報セキュリティマネジメントの実施は、従業員の業務実施の上での利便性と相反することが多いため、どの程度強固な情報セキュリティ対策を行うかを事前に検討する。

セキュリティ対策のコストとリスクはトレードオフの関係
情報セキュリティ対策を行うためにはコストがかかる。一般に、コストを多くかけるほど強固な情報セキュリティ対策が行なえるが、予算には限りがあるため何に対して優先的に情報セキュリティ対策を実施していくかを事前に検討する。

リスクをゼロにすることは不可能
どれほど強固な情報セキュリティ対策を実施したとしても、情報セキュリティ上のリスクをゼロに抑えることは不可能である。

表2:情報セキュリティマネジメントの実施に際しての留意点

   では次項から、図1の実施事項の例の中で情報セキュリティマネジメントにおいて特に重要な事項について述べる。

1   2  3  4  次のページ


みずほ情報総研 牛尾 浩平氏
著者プロフィール
みずほ情報総研株式会社  システムコンサルティング部
コンサルタント   牛尾 浩平

2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。

INDEX
第3回:情報セキュリティマネジメントの概要と実施のポイント
情報セキュリティマネジメントとは
  リスク評価
  情報セキュリティポリシー作成
  システム・ネットワーク対策の概要