情報セキュリティ3要素

Webシステムのセキュリティ

• Webシステムは日々発達し、新しい機能が追加されて便利になっていますが、その一方で、その便利を悪用して、Webシステム上の機密情報を抜き取ったり、Webシステムを動作不能にさせるなど、悪意を持ったユーザーによって攻撃を受ける可能性も増えてきてます。そのためWebシステムの運営にあたってはセキュリティ対策が必須になります。

情報セキュリティ3要素

• 情報セキュリティとは、情報の「機密性」「完全性」「可用性」を維持することと定義されています。
• この３つを情報セキュリティの3要素と呼びます。
• 機密性とは、アクセスを認められたものだけが、その情報にアクセスできる状態を確保すること、つまりは関係のないものに情報を見せないことを意味する。
• 安全性とは、情報が破壊、改ざん、消去されていない状態かを確保する事を意味する。
• 可用性とは、必要な時はいつでも情報にアクセスできる状態を確保することを意味する。
  

リスク・脅威（きょうい）・脆弱性（ぜいじゃくせい）

• 情報セキュリティが維持できず、何らかの損失が発生する可能性と「リスク」と呼びます。リスクを現実化させる要因が「脅威」、脅威に対する弱みが「脆弱性」です。
• 例えば、機密情報を持ったシステムがある場合、そのシステムにとっては機密情報への不正アクセスが１つの脅威となります。そして不正アクセスを許してしまうバグがあれば、それがシステムの脆弱性となります。
• この場合は、脆弱性となっていすバグを不正アクセスによって利用され、機密情報が持ち出されるなどの損害が発生するリスクがあるといえる。
• 実際に不正アクセスを受け、損失が現実化することを「リスクが顕在化する」と言います。
• 情報セキュリティの維持には、脅威を洗い出し、リスクの顕在化を防ぐための対策が必要です。
• リスクによる損失の度合いを算出し、それに応じて優先順位を決めた上で対策を行う