君の三大要件は、僕が守る!
そう、僕こそ君のCIA…

はじまり

どもども。ぱくさんでございます。

前回「情報セキュリティ対策」の「情報資産」のお話をさせていただきました。

…なので、守るべき情報資産については皆さんの中でクリアになっていると思います。

今回はその続きのお話です。

情報セキュリティの三大要件

ここで、いま一度定義の振り返りをば。

「情報セキュリティとは、企業の情報資産を狙うさまざまな脅威から、
 情報資産の機密性・完全性・可用性(三大要件)を確保すること(注1)」

さて、上記「情報セキュリティの定義」の中には、
「情報資産」に加えて、もう一つ重要なポイントがありますね。

そう、機密性・完全性・可用性(三大要件)です。

英語を併記すると、

  • 機密性(Confidentiality)
  • 完全性(Integrity)
  • 可用性(Availability)

なので、頭文字をとって「情報のC・I・A」(注2)と呼ぶひとも居ます。

 

 

へえ~そうかぁ。

機密性・完全性・可用性ねえ。CIAかあ。ふうん。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

「?」ってなった貴方。そうですね。

なんのことかわかりませんね。

 

 

 

 

大丈夫です。そういうときのための我々コンサルタントですから。。。

C・I・Aそれぞれの意味するところ

一個一個、意味するところをなぞっていってみましょう。

<機密性(Confidentiality)>

コレが一番わかり易いと思いますが、

「情報資産を正当な権利を持った人だけが使用できる状態にしておくこと。」

ということになります。

たとえば、貴方の使っているPCにはパスワードでロックがかかっているかと思います。
…かけてるよね?まさかロックなしじゃないよね?

なので、PCやその中の情報資産(電子ファイルとか)を利用できるのは、
基本的には貴方や貴方が許可した人だけです。

私は貴方の情報資産を利用できません
っていうかできたとしてもしませんよそんなの。

コレが「機密性の確保」ですね。

<完全性(Integrity)>

機密性とは反対に、コレが一番わかり難いでしょうねえ。

「完全性?セルが人造人間を吸収したのかな?」←これが初めてきいたときの私の感想です。マジで。

…さておき、この言葉の意味は、

「情報資産が正当な権利を持たない人により変更されていないことを確実にしておくこと。」
ということになります。

噛み砕いて言えば、「悪いやつが情報資産を改竄出来ないようにする」ということですね。

例えば、貴方が仕事で、とってもとっても重要なメールを、お客様に送ったとします。
ところが、悪意のある第三者がそのメールを、相手方に届く前に改竄してしまった。

本来の意図とは違う内容のメールが届いてしまったせいで、
ビジネスは大混乱…貴方の会社は大損…

…まあ、悪いやつのやりそうなことです。ホント暇ですよね

こんな時のために、その改竄を検知したり、そもそも改竄させないようにロックを掛けておく。
ポピュラーなところだと電子署名とかが有名ですね。

これが「完全性の確保」ということになります。

<可用性(Availability)>

最後ですが「可用性」。コレも比較的わかりやすいですね。

「情報資産を必要なときに使用できること」

これです。

例えば共有のファイルサーバを社内で運営していたとして、
そのサーバがメンテナンス中だったり、もっといえば故障した場合、
途端にサーバ内のファイルは使えなくなりますよね?

これを防ぐために、
壊れにくいハードに切り替えるとか、サーバを冗長構成にするとか、
いっそのこと著名なクラウドサーバに切り替えるとか…

こういったことが「可用性の確保」ということになります。

三大要件の確保とともに考えるべきこと

さて、

 

なんだ、ようは何でもかんでも
ガッチガチに防御すればいいじゃん。

 

こう考える方も居るやもしれません。

でもね、ちょっと待って下さい
ことはそんなに単純ではありません。

 

確かに、情報資産は、
「悪意ある第三者」からは守らなくてはいけません。

 

ただ、一方で、
「正当な関係者」には普通に使えるようにしなくてはいけない。

 

実のところセキュリティを論ずる際には、
常にこんなジレンマがあるわけです。

 

例えば、アホみたいに長いパスワード設定を義務付ければ、
「機密性」は確保できるかもしれないです。

でも、それを一々入力しなくてはいけないユーザにしてみれば、
効率が悪いったらありませんね。

 

情報資産のCIAを確保しようとするあまり、
その利用者が「不便さ」を感じてしまう

…これではビジネスにとってはマイナスにしかなりません。

 

利用者にとっての簡便さと、情報資産のCIA、
これらを適度に確保できる、
「ちょうどいいところ」を考えて施策をうたないといけません。

 

いけません、なのですが。

 

…紙面が尽きたようです。

そのへんの考え方については、また次の機会にでも。

おわりに

<今日の名言>

「過ぎたるは猶及ばざるが如し」
(by孔子)

ではまた。

<注>

1、引用元:http://www.jnsa.org/ikusei/basis/02_02.html

2、一応言っときますけどココじゃないですからね。

【セミナーのお知らせ】

営業マン必見!コミュニケーション能力を劇的に向上させる『質問の技術』習得セミナー

皆様の応援が私たちの原動力となります。
ぽちっと押して、応援お願いします♪

にほんブログ村 経営ブログ 経営者へ にほんブログ村 経営ブログ コンサルタントへ
にほんブログ村

 

The following two tabs change content below.

ぱ く

「世界中がハッピーであるために、とりあえず自分の目の届く範囲を全員ハッピーにしよう」…と今日も諸々ワルダクミしています。 以後よしなに!