セキュリティの基本になるのは、機密性、完全性、可用性の3つにに集約されます。これら3要素を基本にした対策を行うことにより、企業の情報システムを強固なものにすることができます。
情報セキュリティの定義
情報セキュリティとは、データの漏洩を防ぐ機密性、データの改変を防ぐ完全性、システムの停止を防止する可用性を確保・維持していくことです。これは、システムやデータをさまざまな脅威から保護し、正常な機能・状態を保つことにより、信頼性を高めることです。
1992年に発表されたOECDの「情報システムのセキュリティに関するガイドライン」では、情報システムのセキュリティ目的を「情報システムに依存する者を、機密性、完全性、可用性の欠如に起因する危害から保護すること」と定義しています。この機密性、完全性、可用性を情報セキュリティの3 要素、略してCIAが情報セキュリティの基本となります。
機密性
機密性とは、情報資産が権限のない第三者に漏れないようにすることです。情報システム側からみると、誰がその情報資産にアクセスできるかを、あらかじめ定められた基準(セキュリティポリシー)に基づいてコントロールします。
したがって、正当な権限を持った者着でも、定められた条件に従わない場合は「権限のない第三者」に含まれることになります。機密性は、情報資産が、正規の方法で、許された時間内に、正当な権限を有する者にのみ開示されることの保証を意味しています。
機密性の喪失は、外部からのアタックと内部からの流出による情報資産の漏洩の2つに分類されます。産業スパイの世界では、機密情報の収集活動をヒューミントとシギントの2つに大別しています。機密性の確保・維持のためには、情報資産の機密区分、使用者の識別・認証、アクセス制御などが重要です。以下に、機密情報の収集活動についてまとめておきます。
- ヒューメント(HUMENT)人的情報収集活動
- シギント(SIGINT)信号情報収集活動
- コミント(COMINT)
- エリント(ELINT)電子情報収集活動
- タッピング(Tapping)
- パギング(Bugging)
- テンペスト(Tempest)
-
性的関係を通じて相手に接近し、情報を引き出すことです。
- ソーシャルエンジニアリング(Social Engineering
人的情報源からの情報収集、つまり人間が人間を相手に情報を収集すること。無意識のうちに情報源となる場合(ソーシャルエンジニアリングなど)と、意識的に情報源となる場合(ハニートラップなど)があります。
暗号通信の傍受・解読など、通信手段・内容を情報源とする情報収集のこと。
地上回線(電話線、通信ケーブルなど)や無線電波による通信を傍受して情報収集すること
電子的手段を用いて情報収集する活動(コンピュータ侵入、人工衛星におる偵察)
電話・データ通信回線などをテレフォンピックアップやクロクリップを利用して盗聴、傍受することで無線通信機能を持たない装置を使う
超小型の無線送信付の盗聴器を使用しての盗聴
ブラウン管、プリンタまたはその接続線から漏れる電磁放射線を盗聴することです。本来は、放射を抑えるために設けられた米国の規格を意味する用語で、この現象を公の場でとりあげた科学者ビレム・フアン・エツクの名にちなんで「フアン・エツクの幻影」と呼ばれることもあります。
本来は社会工学の意で、転じてオペレ一夕やベンダーを装ったり、偽装電話、ダミー募集、架空の人材募集を行って、その応募者との面接を通じて情報を入手すること)など、ありとあらゆる詐欺的手口を使っで情報を引き出すことをいいます。
安全性とは
完全性とは、情報資産が常に完全かつ安全に維持され、不正によって改ざん・破壊されないようにすることです。保全性とか、そのまま「インテグリティ」とも呼ばれます。完全性は、情報資産が、あらかじめ定められた基準(セキュリティポリシー)に基づいた方法でしか変更されないことの保証を意味しています。
完全性の喪失とは、たとえば通信経路上のデータやデータベースの改ざん・破壊、ECにおける金額情報の改ざんなどがあります。ホームページを猥褒画像に書き換えたり、メールのヘッダー情報を改ざんしてなりすましたりすることも含まれます。安全性の確保・維持のためには、職務の分離、書き込みアクセスの制限などが必要です。
可用性
可用性とは、情報資産が定められた方法でいつでも利用できるようにすることです。可用性は、正当な権限を持つ者が、情報資産へのアクセスを継続できることの保証を意味しています。可用性の喪失とは、たとえばメール爆弾によって、一般ユーザーがメールを使えなくなるような場合です。
可用性の確保・維持のためには、バックアップとリカバリーに関する具体的な取り決め、災害からの復旧計画、システム上の事故の検出、パフォーマンスの監視・管理などが重要です。可用性は、ひとつの障害の発生から次の障害の発生まで、システムが正常に稼動している時間をMTBF、ひとつの障害が発生して回復するまでの時間をMTTRとすると数式で出すことができます。
セキュリティーの分類
情報セキュリティは、人的・管理的・システム的な手段によっで情報資産を保護する「論理的セキュリティ」と、建物や設備などの物理的な手段によっで情報資産を保護する「物理的セキュリティ」の2つに大別されます。企業ネットワークのセキュリティ村策には、これらの論理的な対策と物理的な対策が必須です。論理的な対策と物理的な村策がお互いに補完し合うことで、セキュリティの強度を高めます。
コメント