Zenn
🏛️

情報セキュリティの基本概念と標準 - 7つの特性

に公開
Security
learning
ISMS
idea

前回の記事「そもそもなぜ今、セキュリティ?」では、デジタル社会における情報セキュリティの必要性について解説しました。
情報セキュリティとは、「情報資産を安全に守ること」を指します。本記事では、その基本的な定義や機関、規格の概要について整理します。

情報セキュリティの国際標準

ISMSの定義と背景

ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、組織の情報資産を体系的かつ継続的に守るための仕組みです。

情報セキュリティに関するリスクを特定し、適切な対策を講じることで、情報漏洩やデータ破壊、サービス停止などの脅威から組織を守ることを目的としています。

この概念は、情報セキュリティの重要性が高まる中で、世界中の専門家や組織が協力し、国際的な知見を集約して形成されました。

ISMSの国際規格は、主にISO/IEC 27000シリーズで定められています。

国際規格の策定機関 ISO/IEC JTC1/SC27

ISMSの国際規格を定めている機関は、ISO(International Organization for Standardization:国際標準化機構)とIEC(International Electrotechnical Commission:国際電気標準会議)による共同技術委員会「ISO/IEC JTC1/SC27」です。

この委員会は、各ワーキンググループに分かれて、以下のような多岐にわたるテーマについて、国際標準を開発しています。

  • ISMS(情報セキュリティマネジメントシステム)
  • 暗号技術
  • セキュリティ評価基準
  • ID管理とアクセス制御
  • バイオメトリクス認証
  • クラウドセキュリティ
  • IoTセキュリティ
  • ビッグデータセキュリティ
  • プライバシー保護技術 など

これらの分野に関する国際標準は、総称して「ISO/IEC 27000シリーズ」として整理されており、情報セキュリティに関する体系的なフレームワークを提供しています。

国際規格 ISO/IEC 27000シリーズ

ISO/IEC 27000 シリーズでは、情報セキュリティを次のように定義しています。

情報の機密性、完全性、可用性を維持すること。また、真正性、責任追跡性、否認防止性、信頼性などの他の特性も含まれることがある。

※この定義は、ISO/IEC 27000 に記載されたものの要約および筆者による意訳です。
出典:ISO/IEC 27000 (JTC1/SC27) - ISO公式サイト

このうち、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3要素は、それぞれの頭文字をとって「CIAトライアド」と呼ばれており、情報セキュリティの基本原則として広く知られています。

情報セキュリティの国内標準

日本の標準化を担うJISC

JISC(Japanese Industrial Standards Committee:日本産業標準調査会)は、経済産業省の所管の国家機関です。日本における産業標準(JIS)の制定を担っています。

日本の国家規格JIS

JIS(Japanese Industrial Standards:日本産業規格)は、日本国内における製品、サービス、システムなどの標準を定める国家規格です。

情報セキュリティに関する規格もこの枠組みの中に位置づけられており、情報セキュリティ分野では、国際標準(ISO/IEC 27000シリーズ)に基づく国内標準として、「JIS Q 27000シリーズ」が制定されています。

国内規格 JIS Q 27000シリーズ

JIS Q 27000シリーズは、情報セキュリティマネジメントに関する用語の定義、要求事項、管理策の実践規範などを定めた国内規格群です。

  • JIS Q 27000(用語と基本概念)
  • JIS Q 27001(ISMSの要求事項)
  • JIS Q 27002(管理策の実践規範)
  • JIS Q 27005(リスクマネジメントの指針)など

情報セキュリティの7つの特性

情報セキュリティでは、3つの基本特性と4つの補完特性を考慮することによって、情報資産の体系的な保護を実現します。

基本特性 CIAトライアド

CIAトライアドとは、情報セキュリティの基本的な設計指針となる3要素です。

  1. 機密性(Confidentiality)
    権限を持つ人だけが情報資産にアクセスできること。アクセス制御や利用者認証、暗号化などによって、不正な情報開示から保護します。

  2. 完全性(Integrity)
    情報資産の正確性と完全性を保ち、改ざんや破壊から保護すること。デジタル署名やハッシュ関数による改ざん検出によって、情報や情報源の正確さを保証します。

  3. 可用性(Availability)
    許可された利用者が、必要な時に情報資産に確実にアクセスして利用できること。システムの冗長化やUPS(無停電電源装置)の設置によって、システム障害やサイバー攻撃などにより情報が利用できなくなる事態を防ぐことができます。

その他4つの補完特性

CIAトライアドに加えて、さらに4つの特性が含まれることがあります。

  1. 真正性(Authenticity)
    なりすましがなく、情報が確実に本物であると確認できること。データの作成者や送信者が確かにその人物であること、または情報が途中で改ざんされていないことなどを保証します。パスワード認証や生体認証などを組み合わせた多要素認証が、真正性を高める手段です。

  2. 責任追跡性(Accountability)
    情報資産にアクセスした人の行動を明確に追跡できること。いつ誰が何をしたのか、ログの記録や監視によって追跡し、不正行為や誤操作があった際の原因究明を行います。

  3. 否認防止性(Non-repudiation)
    特定の操作や通信を行った者が、後になってその事実を「やっていない」と否定できないようにすること。電子契約におけるタイムスタンプやデジタル署名によって、送受信や承認の事実を否認させないように保証します。

  4. 信頼性(Reliability)
    情報システムに欠陥がなく、安定して動作することで、期待される機能やパフォーマンスを継続的に提供できること。システムの冗長化やバックアップ、堅牢な設計が信頼性を高めます。

おわりに

このように、情報セキュリティを支える基盤として、国際的な枠組みと国内の制度の両方があり、体系的な理解のためには両者の関係性を押さえることが重要です。
次回は、「なぜ攻撃するのか?-サイバー攻撃の動機と攻撃者」について解説します。

Discussion