情報セキュリティを設計/導入/運用/改善していく上で、重要な考え方があります。
これは、ISMS(情報セキュリティマネジメントシステム)で定義されてます。
ISMSとは、企業が使用する情報資産を利用する人が、正しい情報資産に、利便性良く、使うために、組織で運用・改善していくための仕組みです。
上記3つの太文字が以下3つの要素として、ISMSで定義されてます。
情報セキュリティ3要素
1.機密性(Confidentiality)
許可された人だけが情報資産へアクセスできること
言い換えると、許可されていない人はアクセスできないようにすること
2.完全性(Integrity)
正しい情報資産へアクセスできること
言い換えると、情報資産が意図しない形で改竄や削除されないようにすること
3.可用性(Availability)
利用したいと時にいつでもアクセスできること
言い換えると、障害が起きないようシステムの冗長化や復旧策を講じること
実は、上記に加えて、拡張要素として4つの記載もあります。
昨今の脅威に対して、こちらも今後は重要になりつつあるようです。
情報セキュリティ拡張の4要素
4.真正性(Authenticity)
アクセスする人が本当にその人か確認し保証することです。
不正ログインが増加するなか、IDやパスワードを知っているだけでは、真の利用者か、不正ログイン(なりすまし)かを見極めることが困難になってきてます。
対策としては、二要素認証の導入があります。
5.責任追跡性(Accountability)
事故やその疑いがある際に、追跡できるように、いつ/誰が/どこへ/何をしたといったログを保存することです。
ユーザ側ではなく、管理者側のログも残るシステムを選択することも大切です。
6.否認防止(non-repudiation)
事故が発生した時に、それを否認されないようログを保全することです。
5.責任追跡性の対策とセットで検討します。
7.信頼性(Reliability)
システムが設計した通りに正確に動作していることとなります。
見た目上は動いていても、得られる結果が設計通りではないと、それは正しい動作をしていないことになります。
導入前のレビューや実際の検証も程度の差はあれど、しっかりと意識しましょう。
情報セキュリティ7要素と具体的な確認例
まとめ
前述した3要素を基本として、後半4要素は実際に事故が発生した後の対策について述べていることから、昨今の脅威は事前にわかっている攻撃パターンよりも、わからないパターン(ゼロデイ攻撃など)の方が増加してきていることを表していると思います。
専門的に考え過ぎず、常識の範囲でどうすれば安全で利便性高く、いざ何かあった時も対処できるようにするには、どういう設計/システムを導入すれば良いか、考えることから始めると、結果的に一定の要素は満たせていると思います。
0コメント