情報セキュリティの3要素 - 情報セキュリティ|Systems Engineer Wiki

Systems Engineer Wiki

訪問者:23,216,353 人目

<< 2021年02月 

123456
78910111213
14151617181920
21222324252627
28
お知らせ・メンテナンス情報
  >  
  >  
情報セキュリティの3要素

情報セキュリティの3要素

投稿日:2015-01-01 00:00:00

ノート

ISO/IEC 17799:2005(JIS Q 27002:2006) 情報システムの機密性、完全性、可用性を維持することを定義している。 また、ISO/IEC 17799:2005では、機密性、完全性、可用性についての定義はされていませんが、ISO/IEC 13335-1:2004(JIS Q 13335-1 2006)では下記のように定義しています。

情報セキュリティの3要素の定義

  • 要素
  • 定義
  • 機密性(confidentiality)
  • 認可されていない個人、エンティティまたはプロセスに対して、情報を使用不要又は非公開にする特性。
  • 完全性(integrity)
  • 資産の正確さ及び完全さを保護する特性。
  • 可用性(availability)
  • 認可されたエンティティが要求したときに、アクセス及び仕様が可能である特性。

機密性

特定の人にIDやパスワードを与えたり、アクセス権限を制限してアクセスできる人や機器を特定すること等

完全性

サーバデータの改ざんや破壊が行われていない事や機器の設定内容が不正に書き換えられていない事等

可用性

自然災害や機器の故障の発生による業務の中断や停止を避けるために、別の場所にバックアップの機器やデータを準備しておき、現実にその脅威が発生した時に切り替えて対応する事等

ノート

ISO/IEC 13335-1:2004では、3要素に加えて真正性、責任追跡性、否認防止、信頼性も併せて定義されています。これらを含めてセキュリティの7要素として参照される事もあります。

セキュリティの7要素(追加の4要素)の定義

  • 要素
  • 定義
  • 真正性(authenticity)
  • ある主体又は資源が、主張どおりであることを確実にする特性。真正性は、利用者、プロセス、システム、情報などのエンティティに対して適応する。
  • 責任追跡性(accountability)
  • あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性(JIS X 5004)
  • 否認防止(non-requdiation)
  • ある活動又は事象が起きたことを、後になって否認されないように証明する能力。
  • 信頼性(reliability)
  • 意図した動作及び結果に一致する特性。

備考

3要素の定義の変化について 現在は廃止されている ISO/IEC 17799:2000(JIS X 5080:2002)では、機密性、完全性、可用性について下記のように定義していました。 機密性:アクセスを許可された者だけが情報にアクセスできることを確実にする事。 完全性:情報及び処理方法が、正確である事及び完全な状態である事を保護する事。 可用性:認可された利用者が、必要な時に、情報及び関連する資産にアクセスできる事を確実にする事。 以前はあくまでも人が対象となっておりましたが、現在では対象をエンティティとしています。つまり、人以外の「もの」(装置等)も対象にする事を意味します。