大企業から情報漏洩が発生するたびに声高に叫ばれる情報セキュリティの重要性。
しかし、そもそも情報セキュリティとは何なのでしょうか。
情報セキュリティの定義を考えてみます。
様々な組織によって”情報セキュリティ”という言葉の定義が行われており、例えばISO27001では以下のように定義されています。
「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい。」
https://www.icms.co.jp/examination/iso27001/index.html
思いっきり平たく言ってしまえば、情報セキュリティ=「情報資産を守ること」です。
企業にとっては、「企業活動に必要な情報を様々な脅威から守ること」を意味します。
ISOの定義の通り、情報セキュリティには大きく3つの要素があります。
- 機密性の確保
- 完全性の確保
- 可用性の確保
分かる人には簡単にわかるけど、分からない人にはまったく分からない言葉だと思います。
それぞれの意味合いは以下の通りです。
(1)機密性の確保
機密性が確保されているとは、見てもよい権限のある人以外が、その情報を見ることができないようにしている状態のことを指します。
これが一般的にイメージされる情報セキュリティのことではないでしょうか。
物理的には、書棚に鍵をかけて資料を保管すること、デジタルでは、ファイルへのアクセス権設定を行うことが該当します。
(2)完全性の確保
完全性が確保されているとは、情報の内容に誤りや不足がないと保証されている状態のことを指します。
顧客の年齢を顧客情報として管理しているとしたら、間違った年齢を記録してしまうと情報セキュリティ上よくない状態ということになります。普通に使っているセキュリティという言葉からはイメージしにくい内容ですね。
(3)可用性の確保
可用性が確保されているとは、情報を使いたい時に、いつでも使用できる状態であることを指します。
情報の保存や利用を、ITシステムに依存している現代では、ITシステム障害への対策を立てることが重視されます。
単に自分のパソコンにファイルを保存しているだけでは、いつ故障して使えなくなるか分からないため、可用性の観点からも良くない状態であると言えます。
そもそも事業を行っている組織や人は、なぜ情報セキュリティに気を配らなければいけないのでしょうか。
それは各方面からの要請があるから、ということなのですが、これについては、次回もう少し具体的に説明したいと思います。