連載
夏休み前こそ再確認――セキュリティインシデント:ITIL Managerの視点から(2/3 ページ)
人間を性善説で見るか性悪説で見るか、という観点は時代遅れ。リアルな世界でもITの世界でも、セキュリティインシデントは確実に存在するし、悪意がなくとも「ついうっかり」や「デキゴコロで」ということだってあるのだ。
CIA(Confidentiality、Integrity、Availability)
CIAとは情報セキュリティに関する3大要素である。個別に解説する。
Confidentiality:機密性
情報資産を、それを利用する権利のある人だけが利用できること。情報漏えいが起きないように対策をとるだけではない。例えばメールサーバが迷惑メールを送信するための踏み台にされるといった事態、課金システムをすり抜けてタダでシステムを利用するといった事態も、機密性が守られていないことになる。
Integrity:完全性
情報資産が正確であること。情報(データ)に改ざんや矛盾がないということだけでなく、その情報を扱うシステムそのものが正当で不具合がないということもまた重要である。
Availability:可用性
情報資産が利用したい時に利用できること。情報システムに関しても情報そのものに関しても同じことが言える。特に情報システムにおいては、その信頼性や保守性、対障害弾力性といった要素も大きく影響する。
本連載を読み続けていただいている読者には「耳にタコ」とも言える表現かもしれないが、それだけCIAは重要であるということ。セキュリティ対策がこの3つの視点で十分かどうか、常にPDCAサイクルを回して確認する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.