情報セキュリティの保護目標は、情報を保護するための初歩的なキーポイントである。情報は、今日に限らず、あらゆる企業にとって重要な経済的価値を持つものである。それは企業の存立基盤であり、したがってビジネスを成功させるための必須条件である。したがって、情報が保護されなければならないことは明らかであり、少なくとも望ましいことである。しかし、願望と現実の間には、まだ大きな隔たりがあります。

Loading...

情報セキュリティの保護目標とは?

情報処理における不適切なセキュリティのために、毎年何十億ドルもの損害が発生している。しかし、組織の資産を適切に保護するには、どうすればよいのでしょうか。また、企業が情報セキュリティのテーマに取り組むには、どのような方法があるのでしょうか。

ISO/IEC 27001に準拠した情報セキュリティマネジメントシステム(ISMS)は、全体的なセキュリティ戦略を効果的に実施するための最適な基盤を提供します。この規格は、保護レベルの導入、実施、監視、改善のためのモデルを提供しています。これを達成するために、企業や組織はまず、情報セキュリティの3つの基本的な保護目標に取り組む必要があります。

  • 機密性(Confidentiality
  • 完全性
  • 可用性

情報セキュリティの保護目標情報の機密性

その目的は、機密データを不正アクセスから保護することです。これは、データ保護法上の理由であれ、 企業秘密法などで規定されている企業秘密に基づいている理由であれ、同じことです。したがって、情報および機密データの機密性は、アクセスする権限(オーソライゼーション)を持つ者のみがアクセスできる場合に確保されます。アクセスとは、例えば、閲覧、編集(変更)、あるいは削除を意味します。

したがって、機密情報へのアクセスは、権限のある者のみが行い、権限のない者はいかなる場合にもアクセスできないようにする必要があります。このことは、机の上に無防備に置かれ、閲覧を誘う可能性のある紙媒体の情報や、処理中にアクセスできないデータの送信にも適用されます。

これらの保護目標を達成するために、企業が実施する対策の実施と有効性が、その企業の情報セキュリティレベルの重要な特徴である。

国際的に認知された情報セキュリティ規格であるISO27001のユーザー(または関心のあるユーザー)にとって非常に有用なのが、付属書Aです。この付属書には、情報セキュリティ関連の最も重要な状況に対する目標と参照措置が記載されています。

権限のある者については、彼らが持つべきアクセスの種類、彼らが行うことを許可または要求されること、および彼らが行うことを許可されないことを指定することも必要である。許可されていないことはできないようにしなければならない。このプロセスで使われる手法や技法は多様であり、場合によっては企業特有のものである。

情報の不正な閲覧や開示(送信中も含む、典型的な例:電子メールのトラフィック!)が問題「だけ」であれば、例えば、機密保持のために暗号化手段を用いることができる。情報の不正な改ざんを防ぐことが目的であれば、「完全性」という保護目標が登場する。

ISO/iec 27001:2013- 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項
この規格は、ISOのウェブサイトから入手できます。

情報セキュリティの保護目標情報の完全性

情報の完全性(Integrity)という専門用語は、同時に複数の要件に関連しています。

  • 意図しない情報の変更は不可能でなければならないし、少なくとも検出と追跡が可能でなければなりません。実際には、次のような段階が適用されます。
    - 高い(強い)完全性は、望ましくない変更を防止します。
    - 高い(弱い)完全性は、変更を防止できないかもしれないが、(意図しない)変更を確実に検出でき、必要であれば追跡できる(トレーサビリティ)。
  • データおよびシステムの信頼性が保証されていること。
  • 情報の完全性が保証されていること。

したがって、情報の完全性を高めるための対策は、外部および内部からの攻撃に対する保護と同時に、アクセス権限の問題も対象としています。

「機密性」と「可用性 」という言葉は、情報セキュリティの古典的な保護目標という意味で、容易に理解でき、ほとんど自明であるが、「完全性」という専門用語については、若干の説明が必要である。意味するところは、(データやシステムの)正確さ、(変更の)完全性や追跡可能性である。"

情報セキュリティの保護目標情報の可用性

情報の可用性とは、必要なITシステムを含むこれらの情報に、権限を与えられた者がいつでもアクセスでき、必要な範囲内で使用可能(機能的)であることである。システムに障害が発生したり、建物にアクセスできなかったりすると、必要な情報を入手することができなくなる。場合によっては、プロセスの維持など、広範囲に影響を及ぼす混乱につながる可能性がある。

そのため、システム障害の発生確率、発生期間、ITセキュリティの欠如による損害などを考慮したリスク分析を行うことが重要である。その結果から効果的な対策を導き出し、最悪の事態が発生した場合に実行することができるのです。

拡張」された保護目標とは?

機密性、完全性、可用性というセキュリティ目標に加え、さらに3つのセキュリティ目標がある。これには「コミットメント」と「アカウンタビリティ」という2つの側面があり、これらは互いに補完し合うものです。前者は行為者が自分の行為を否定できないようにすること、後者はその行為が確実に行為者に帰属できるようにすることを意味します。どちらも行為者の一意な識別可能性に帰結し、一意なパスワードの発行はそのための最低条件である。

第三の拡張保護目標は「真正性」、すなわち本物であることである。この文脈での素朴な疑問はその情報は本物か、つまり、指定された出所から実際に来たものか。この保護目標は、情報源の信頼性を評価する上で重要である。

Man and a woman with a laptop in a server room
Loading...

価値のある情報は、今日の金であり、企業にとって保護すべき資産でもあります。ISO 27001に関する最も重要な質問に対する回答は、こちらでご覧いただけます。

情報セキュリティの保護目標まとめ

情報セキュリティの最も重要な保護目標は、「機密性」「完全性」「可用性」の3つである。

機密性機密性の高いデータに誰がどのような方法でアクセスできるかを明確に定義し、それを保証すること。これは、適切なアクセス権限付与や暗号技術の利用などと連動している。

完全性とは、情報の不正な変更や削除に対する保護、さらに情報の信頼性と完全性を意味します。したがって、データの変更を迅速に検出したり、不正な操作を根本から防止するための予防策を講じることが重要である。

可用性とは、情報、システム、建物などが、許可された人がいつでも利用できる状態であること。例えばシステムの故障は大きなリスクを伴うので、このような複合的なテーマについてはリスク分析を行う必要がある。ここでは、最も必要なシステムの故障の確率、ダウンタイム、損害の可能性を記録する。

コミットメント、説明責任、真正性は、「拡張」された保護目標である。

コミットメントとは 、行為者がその行為を否定できないようにすることであると理解されている。説明責任は、そのような行為者を明確に特定することで、この拡張保護目標を補完する。真正性(Authenticity)とは、次のような問いかけをするものである。ある情報が本物か、信頼に足るものか。

DQS - 私たちに期待すること

情報セキュリティは、ITセキュリティの域をはるかに超えた複雑なテーマです。技術的、組織的、インフラ的な側面も含まれます。国際規格ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)という形で、効果的な保護対策に適しています。

DQSは、マネジメントシステムおよびプロセスの監査と認証のスペシャリストです。35年にわたる経験と、世界中で2,500人の審査員のノウハウを持つ当社は、お客様の有能な認証パートナーとして、ISO 27001と情報セキュリティマネジメントシステムに関するあらゆる疑問にお答えします。

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

お客様のご質問にお答えします

ISO 27001に基づく情報セキュリティマネジメントシステムの認証を受けるには、どれくらいの労力が必要でしょうか。調べてみましょう。無料でお答えします。

信頼と専門知識

当社のテキストとパンフレットは、長年の経験を持つ当社の規格専門家または審査員によってのみ執筆されています。テキストの内容や、著者へのサービスについてのご質問は、お気軽にメールでお寄せください。

著者名
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Loading...