【情セキ.002】情報資産維持の観点
佐藤@IT雑貨屋です。
少し春めいてきた(と言っても少々暑かった)のですが、また少し冷えたりしてきました。まさに「三寒四温」なのですが、これから季節も春本番へ移行していくのでしょう。
さて、前回は情報セキュリティで扱う「情報資産」について、少し書かせてもらいました。情報セキュリティとは単に「情報漏洩を防ぐ」という事ではなく、しっかりと情報資産を維持していく事を言っています。今回はこの情報資産の維持の観点について、少し書かせて頂きます。
JIS Q 27001では「情報セキュリティの定義」として定められていますが、組織の情報資産は以下の観点で維持していかなければなりません。
①機密性(Cofidentiality)
これは許された人やプロセス以外には情報資産を利用をさせない、また開示をしないという事です。
②完全性(Integrity)
これは情報資産は常に完全な状態を維持し、安全な場所に置かなければならないという事です。
➂可用性(Availability)
これは許された人やプロセスが情報資産を利用する時には、しっかり利用可能な状態でなければならないという事です。
以上3つの事が中心となりますが、これらの頭文字を取ってCIAと呼んだりします。またこれ以外にも以下の観点を含む事があります。
④真正性(Authenticity)
情報資産にアクセス可能な人やプロセスは、しっかりとその事を確実に証明できる事
⑤責任追跡性(Accountability)
情報資産にアクセス可能な人やプロセスが、情報処理を行う際の行動責任については、確実に追跡できる事。
⑥否認防止(Non-Repudiation)
情報資産にアクセスした記録は、否認防止の為に確実に維持する事。
⑦信頼性(Reliability)
情報資産へのアクセスした行動と、その結果については一貫して記録し、信頼できる状態を維持する事。
ここで①~➂を見て頂くとわかりますが、これはある意味で「盾と矛(矛盾)」を含んだ内容になっています。機密性、つまり情報資産は外部に漏れ出ない様に機密性を維持しながら、利用できる人間には確実に利用できる事を謳っています。しかしもし情報資産を利用させるのであれば、その情報が変質してしまうケースも発生してしまいますし、当然、外部に漏れだす危険性も高まります(紙に書かれた情報の場合には劣化しますし、利用者が情報資産を改竄・破損させる可能性もあります)。
つまり情報資産の機密性を維持しつつも、しっかりとその情報資産を活用できる状態を維持していきなさい。これが情報セキュリティの基本的な観点となっていますが、つまるところは「さじ加減」をどこに置き、どの様な方法で守って行くか、そこは組織毎にしっかりと検討して実施する事ですね。利活用する上で、リスクを覚悟の上で情報資産を確実に維持していく。そういう事なのです。
こうなると、どこまで許容出来るけど、どこから許容は出来ないと言う様な、情報資産の扱いに対する線引きも当然の事考えなければなりません。そういう事も含めて情報セキュリティは考えなくてはならないのです。
また④~⑦で求められるのは、情報資産へのアクセス記録はしっかりと取り、それは保管して証跡として保持する事です。何時、誰が、どの様に情報資産にアクセスしたのか、そこはしっかり記録として残し、もし事故や事件などがあった場合には、その情報資産に誰が何時、どの様にアクセスしたのかは明確に判別できる様な仕組みも検討すべきという事を言っています。
こういった観点で情報資産を維持し、必要な運用を検討する事が情報セキュリティなのですが、これは何も一回検討して必要な対処を行ったら終わりという事ではありません。
例えば組織のパソコンにはウィルス対策のソフトウェアをインストールしたとします。個人であれば自己の範疇で終わるので、それで対策完了という事もあるでしょう。現に私もWindows Defenderを起動して、プロバイダのウィルス対策サービスを申し込みすれば、ある程度は情報を守る事が出来ます。しかし組織であれば人も変わりますし組織の規模も常に変化します。スタートアップ時点では許された対策が、規模が大きくなると、施した対策には不備や不足が生じてくるのは当たり前です。
その為に、情報セキュリティえはマネジメントシステムとして仕組みを作り、PDCAサイクルを回して、定期的に情報セキュリティの仕組みを見直しを掛けていく事が定められているのです。
次の回では情報セキュリティ対策の考え方について、書いてみます。