アクセスできてはいけない人がアクセスできないようにすること。情報漏えいは機密性が損なわれた状態ということになる。
必要なときに利用できるようにすること。サーバやネットワークがダウンして利用できなくなる障害の他、マルウェアなどでファイルが暗号化もしくは削除された場合も可用性は損なわれる。
データが正確であり、過不足のない完全なものであること。顧客から受け取った契約書が不正に改ざんされていた場合は、完全性が損なわれた状態となる。
情報にアクセスする組織や人、媒体がアクセス許可された本人であること。本来、情報へのアクセスは人物そのものに対して制御されるべきだが、通常の情報システムでは人物とIDをひも付け、さらにIDにひも付けた形でアクセス権を制御し、ログを記録する。
そのため、そのIDを使用している人物が想定されている人物だと言えない場合、機密性や後述の責任追跡性、否認防止が成立しないことになってしまう。他人のID、パスワードでログインすることは真正性が損なわれた状態だ。
個人や組織、媒体が行った一連の動作が追跡できること。これができないとファイルが更新・削除されていたり、情報が流出したりしたときの原因、影響範囲が確認できない。
個人や組織、媒体が行った行為などを後から否定されないようにすること。例えばファイルを消してしまった本人が「自分じゃない」と言い逃れできないようにすることなどがこれにあたる。責任追跡性を維持することで実現できる。
データやシステムを利用した動作が意図した通りの結果を出せること。保存したファイルが消えてしまったり、内容が化けてしまったりするなどシステムの不具合があると信頼性が損なわれる。
これらの要素は相互に関係しており、ある対策が複数の要素に対して効果をもたらすケースも多い。そのため、対策は複合的に考えていくことになる。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング
編集部おすすめブックレット