情報セキュリティ7要素 | CIA+真正性,責任追及性,否認防止,信頼性
情報セキュリティ7要素
3要素(情報のCIA)+ 真正性・責任追及性・否認防止・信頼性について
「機密性」(Confidential)
情報が権限を持たない人が見たり利用したりできないようにする。
機密性が維持できない状態では、被害や影響として「情報漏えい」が発生します。
「完全性」(Integrity)
情報が権限を持たない人に書き換えられたり消されたりしないようにする。
完全性が維持できていない状態では、被害や影響として「情報の改ざん」等が発生します。
「可用性」(Availability)
情報や情報機器(PCやスマートデバイスなど)、情報システム等が利用したい時に利用できるようにする。
可用性が維持できていない状態では、被害や影響として「システムや業務の停止」が発生します。
「真正性」 (authenticity)
ある主体または資源が、主張どおりであることを確実にする特性。
真正性は、利用者、プロセス、システム、情報などの対象に対して適用する。本人を認証するシステムを備えていることなどを指します。
「責任追跡性」 (accountability)
ある対象の動作が、その動作から動作主の対象 まで一意に追跡できることを確実にする。
データベースやネットワークのアクセスログを取得しておき、誰が・どの情報に・いつ・どのような操作を行ったかを追跡できるようにすることです。
「信頼性」(reliability)
意図した動作及び結果に一致する。
情報システムを稼働させたとき、故障や矛盾がなく、指定された達成水準を満たしていることを指します。
「否認防止」(nonrepudiation)
ある活動又は事象が起きたことを、後になって否認されないように証明する。
デジタル署名等により、文書作成者がその文書を作成したのはその人本人であるという事実を否定できないようなことを指します。