「情報セキュリティ」って何をするの?
「情報セキュリティ」って何をするの?:IT Pro
あなたはある日突然,会社の情報セキュリティ管理者に任命されました。さて,まずは何をしますか? こんな質問をされたら,いろんな答えが出てくるでしょう。もちろん,その時の状況によって最初にやるべきことは異なります。ただ,いずれにしても組織の情報セキュリティに対する現状把握と,方向性を決める作業は必要です。では,その「情報セキュリティ」とは一体どういうことなのでしょうか。
情報セキュリティとは
2005年10月に発行されたISO/IEC27001(情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項)に,情報セキュリティに関しての定義が書いてあります※1。
情報セキュリティ(information security)
情報の機密性,完全性及び可用性を維持すること。さらに,真正性,責任追跡性,否認防止及び信頼性のような特性を維持することを含めてもよい。
ISO/IEC27001:2005 3 用語及び定義より
この定義文書の前半三つの用語である「機密性」「完全性」「可用性」は,情報セキュリティの3大要素と呼ばれることがあります。それぞれの用語の定義は以下の通りです。
◆機密性:Confidentiality・・・認可されていない個人,エンティティ(団体等)又はプロセスに対して,情報を使用不可又は非公開にする特性
◆完全性:Integrity・・・資産の正確さ及び完全さを保護する特性
◆可用性:Availability・・・認可されたエンティティ(団体等)が要求したときに,アクセス及び使用が可能である特性
ISO/IEC27001:2005 3 用語及び定義より
