セキュリティ対策は、何をどこまですべきか? 情報セキュリティのアプローチ

EnterpriseZine / 2013年7月8日 7時0分

図表3:「リスク」:原因と結果、影響・被害

情報セキュリティ対策は、何をすればいいのか分からない」、「どこまでやったらいいのか分からない」という声をよく聞きます。前回で説明したとおり、情報セキュリティで何をどこまでやればよいかは、組織によって異なってきます。また、それを知るためには、そのための判断のより所が必要となります。今回は、その判断のより所となる、情報セキュリティのアプローチについて説明したいと思います。

■「情報セキュリティの3要素」(機密性、完全性、可用性)のバランスを考える

 まずは、「情報セキュリティの3要素」の「機密性」「完全性」「可用性」のバランスを考えなければなりません。そして、情報セキュリティでは、何か1つだけの要素を考慮するのではなく、それぞれの要素を検討し、そのバランスを考慮することが必要となります。なぜならば、これらの要素が相互依存関係にあるためです。

 たとえば、システムの管理者のパスワード等の情報が漏えいする(「機密性」が失われる)と、その情報を悪用してシステム内の重要情報が改ざんされる(「完全性」が失われる)などの被害が起こることがあります。また、システム自体の完全性が失われてしまうと、パスワード等の情報が正確に機能しているということを合理的に説明ができなくなってしまうことがあり、機密性が失われてしまうことになります。このように何か1つの要素が失われることにより、他の要素に影響し連鎖的に被害や影響が起こることがあるのです。

株式会社ラック 長谷川 長一[著]

EnterpriseZine

トピックスRSS

ランキング