情報セキュリティ管理は情報やサービスが安全に利用できることを 確実にするプロセスです。情報やサービスが安心して利用できる レベルは事業やサービスの内容によって変わります。 サービス・プロバイダには、事業側が望むサービスのセキュリティ・ レベルで情報やサービスを維持・運営しなければなりませんが、その説明責任を 果たすのがこの情報セキュリティ管理です。
情報セキュリティには大きく3つの要件があると言われています。それは情報やサービスの 機密性 (Confidentiality) 、完全性 (Integrity) 、 可用性 (Availability) です。これらの要件は、それぞれの英語の頭文字を取って、 CIA要件と呼ばれることもあります。
機密性は、許可されていないユーザやプロセスから情報やサービスが アクセスされることを防ぐことに関する特性です。機密性の欠落による インシデントには、機密情報の漏えいやホームページの改ざん、そして、 他人によるサービスの不正利用などがあります。
完全性は、情報の正確さや完全さを保つことに関する特性です。 完全性の欠落は、プログラムの欠陥やデータの入力ミスなどによって発生します。 また、システムの復旧処理の不手際により完全性が失われることも あります。完全性が失われるとサービスへの信頼性は失われ、 結果としてそのサービスが利用されなくなることもあります。
可用性は、許可された情報やサービスにアクセスできる状態を 維持することに関する特性です。必要な時にアクセスできなければ、 情報やサービスの価値を守っていることにはなりません。 可用性の欠落は、その瞬間における事業機会を失うだけではなく、 信用の低下から将来の事業機会さえも奪ってしまいます。
求められているCIA要件を満たすために、 情報セキュリティ管理は、情報セキュリティ方針を確立し、 経営陣とともに組織の中にその方針を浸透させていかなければなりません。 情報セキュリティを守る仕組みと文化を育成することで、 期待されているCIA要件が満たされ、 顧客やユーザは安心してそのサービスを利用することができます。
次回は、2010/05/10 の予定です。
