第1回 情報セキュリティ、基礎の基礎の概念を知る：知ってるつもり？ 「セキュリティの常識」を再確認（2/2 ページ）

[伊藤良孝（三井物産セキュアディレクション CTO），ITmedia]

　これらの各ファクターは各々独立に変化する。そして情報セキュリティにおけるリスクのコントロールとは、この立方体の体積を、あらかじめ想定した体積内に常に維持していく、ということに他ならないのである。

　例えば、初めにV、A、Tの各ファクターの値が10の場合、立方体の体積は各ファクターのかけ合わせで「10×10×10＝1000」となる。だが何らかの理由により、あるファクターが20にまで増加したとすると、体積は「20×10×10＝2000」になってしまう。この時、他のファクターを半分（5）にまで減らして「20×5×10＝1000」という元の値まで戻してやることがリスクコントロールのイメージなのである。

　では、各ファクターはどこまでコントロールできるのだろうか？

　最初に挙げられるのは、資産価値（Asset）という要因である。この要因に対しては、施策者が積極的なコントロールを行うことが可能だ。すなわち、あまりにも立方体の体積が大きくなってしまう場合、資産を持ち続けるという選択枝に加え、あえて資産を捨てるという対策が可能である。この選択は施策者に委ねられているが、よほどの権限や事情がない限り、資産を捨てるという選択はしないと考えられる。したがってこのファクターは実質上ほぼ一定か、システムの増設などによって増加していくファクターと見て良いであろう。

　次に脅威（Threat）という要因であるが、この要因は外部の要因である。施策者側でコントロールすることはほぼ不可能であり、また残念ながら時間と共に増加していく要因である。

　最後に残った脆弱性（Vulnerability）という要因であるが、この要因は、完全にとは言えないまでも施策者側でかなり自由なコントロールが可能なファクターである。そして、さまざまなセキュリティプロダクトの導入などで実現しようとしているものこそ、まさにこのファクターの「直接的な」コントロールなのである。

情報セキュリティにおけるC.I.A.

　さて、前節でセキュリティプロダクトなどによる施策は、主に脆弱性のファクターに直接的なコントロールを行うことであることを説明した。それでは、このコントロールは何を目的にしているのだろうか？　もちろん「資産を保護する」ということが目的であることに間違いはないが、いったい資産の何を保護するためのものなのだろうか？

　情報セキュリティにおけるこの問いに対し、最も広く使われている概念が「情報セキュリティのC.I.A.」としてよく知られているものだ。これは、国際標準化機構（ISO）が1989年に「Information processing systems , Open Systems Interconnection - Basic Reference Model Part 2-」で定めたものであり、下記の3つの属性として定義されている（図2）。

• 機密性（Confidentiality）

　正当な権限を持つ主体のみが情報資産を使用できること

• 完全性（Integrity）

　情報資産が改ざん、破壊されないこと

• 可用性（Availability）

　正当な権限を持つ主体が情報資産を使用する場合、その使用を妨げないこと

図2●情報セキュリティのC.I.A.

　現在は内部情報漏洩などのケースの増加により、上記に加えて、ISO/IEC TR 13335（GMITS）に定義されている追跡性（Accountability：行為の記録および確認）も重視されるようになってきた。それでも前述の3つの項目が、情報セキュリティにおける「コントロール」という行為が守らなければならない項目の基本であることは間違いない。

　要は「さまざまな機能を持っている現在のセキュリティプロダクトは、リスクキューブにおける脆弱性の要因に対して直接的なコントロールを行い、守るべき資産のC.I.A.を維持するためのものである」という根本的なことを忘れないでいただきたい、ということなのである。

　なお、このような概念にさらに興味のある方は、2004年3月に日本セキュリティ監査協会（JASA）がまとめた活動報告書の中に、非常に良くまとまった文書があるのでそちらを参照していただきたい。