情報セキュリティマネジメントとは
今回から、情報セキュリティマネジメントについて説明するが、まずはその概要を説明する。
情報セキュリティマネジメントとは、「Plan(計画) → Do(実施) → Check(点検) → Act(処置)」のPDCAサイクルの中で、情報の機密性、完全性および可用性(さらには、真正性、責任追及性、否認防止、信頼性のような特性)を維持 し、向上させることである(表1)。
- 機密性(confidentiality)
- 認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性。
- 完全性(integrity)
- 資産の正確さ及び完全さを保護する特性。
- 可用性(availability)
- 認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。
- 真正性(authenticity)
- ある主体又は資源が、主張どおりであることを確実にする特性。真正性は、利用者、プロセス、システム、情報などのエンティティに対して適用する。
- 責任追及性(accountability)
- あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性。
- 否認防止(non-repudiation)
- ある活動又は事象が起きたことを、後になって否認されないように証明する能力。
- 信頼性(reliability)
- 意図した動作及び結果に一致する特性。
表1:JIS Q 13335-1:2006における情報セキュリティに関連する用語の定義
出所:JIS Q 13335-1:2006 情報通信技術セキュリティマネジメント
第1部:情報通信技術セキュリティマネジメントの概念及びモデル
出所:JIS Q 13335-1:2006 情報通信技術セキュリティマネジメント
第1部:情報通信技術セキュリティマネジメントの概念及びモデル
PDCAサイクルの各フェーズにおける実施事項の例を図1に示す。
図1:情報セキュリティマネジメントにおける実施事項の例
情報セキュリティマネジメントを実施する際には(特にPlanやAct)、表2に示す留意点を踏まえて対応する。
- 安全性と利便性はトレードオフの関係
- 情報セキュリティマネジメントの実施は、従業員の業務実施の上での利便性と相反することが多いため、どの程度強固な情報セキュリティ対策を行うかを事前に検討する。
- セキュリティ対策のコストとリスクはトレードオフの関係
- 情報セキュリティ対策を行うためにはコストがかかる。一般に、コストを多くかけるほど強固な情報セキュリティ対策が行なえるが、予算には限りがあるため何に対して優先的に情報セキュリティ対策を実施していくかを事前に検討する。
- リスクをゼロにすることは不可能
- どれほど強固な情報セキュリティ対策を実施したとしても、情報セキュリティ上のリスクをゼロに抑えることは不可能である。
表2:情報セキュリティマネジメントの実施に際しての留意点
では次項から、図1の実施事項の例の中で情報セキュリティマネジメントにおいて特に重要な事項について述べる。
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
