HOME >> 情報セキュリティ >> 情報セキュリティ対策実践情

読者層別: 情報セキュリティ対策 実践情報

独立行政法人 情報処理推進機構
セキュリティセンター
最終更新日 2005年8月2日

情報技術を利用する読者に合わせて、セキュリティ対策に関する情報をとりまとめています。

ITユーザ
向け		 情報システム部門責任者の方 組織の経営管理者に認識していただきたい諸論点をご紹介します。
システム管理者の方 サイトにおけるシステム管理者/ネットワーク管理者およびシステムインテグレータのエンジニアを対象に、対策や資料をまとめています。
SOHO(小規模サイト)の管理者の方 特に自身の小規模なサイトにおいてインターネットサーバーを運用管理している方を対象とした情報です。
エンドユーザ・ホームユーザの方 ご家庭でコンピュータを利用するホームユーザ、組織において情報システムを利用するエンドユーザに向けた情報です。
  ネットワークサービス事業者の方 ネットワークサービス事業者のネットワーク管理者を対象とした情報です。
ITベンダ
向け		 ソフトウェア開発者の方 セキュリティエンジニアリングに関する情報です。ソフトウェアやファームウェア(組込みソフトウェア)の開発に携わるプロジェクト管理者、設計者およびプログラマ向けです。

参考: IPA/ISECの情報発信戦略

◆ このページの目次

  1. ITユーザの情報セキュリティ対策
  2. ITベンダの情報セキュリティ対策
  3. 情報セキュリティとは
  4. 脅威 + 脆弱性 → リスク
  5. 対策

ITユーザの情報セキュリティ対策

情報システムと情報のセキュリティを確保するためには、情報セキュリティ上の課題・リスクを認識し、次に 、そのリスクに対応して現時点で最善と考えられている対策の実践に着手する必要があります。

組織においては、組織体内部の各階層において、それぞれの課題・リスクの認識と対策の実践が必要です。

三角のグラフで上段に経営管理者、中段にシステム管理者、下段にエンドユーザが位置し、隣にはSOHOが位置し、その隣にはホームユーザが位置している。

ページトップへ

ITベンダの情報セキュリティ対策

ソフトウェアおよびファームウェアの開発に携わっている方は、よりセキュアなプロダクトを開発するために、適切な手法に則った開発を行う必要があります。IPA/ISECはセキュリティエンジニアリングに資する技術情報を提供します。これにはセキュリティ脆弱性を生まないようにするセキュアプログラミングのテクニック等が含まれます。

>> セキュリティエンジニアリング(ソフトウェア開発者向けのページ)

ページトップへ

 

情報セキュリティとは

「セキュリティ」という言葉が指す概念は「安全」という言葉が指す概念と少し異なります。「セーフティ(safety)」も「安全」に近い言葉ですが、「セキュリティ」とは異なる意味合いをもっています。「セーフティ」が能動的な活動に伴う脅威が存在している場合に用いられるのに対して、「セキュリティ」は、 何らかの外部の脅威・加害に対してもっぱら受動的である問題について表現しています。

セキュリティ セーフティ

「情報セキュリティ」は、情報(information)、もしくは情報技術(IT, Information Technology)についてのセキュリティ問題を扱う分野です。しばしば、「情報セキュリティ」という用語と「IT セキュリティ」という用語が使い分けられることがあります。この場合、前者「情報セキュリティ」の対象となる情報には、電磁的な形態をとった情報のみならず、紙媒体や、音声も含められ、後者「IT セキュリティ」よりも広義であり、組織体のマネジメントの観点から情報セキュリティを論じるときなどに使われます。今日の「情報セキュリティ」(もしくは「IT セキュリティ」)は、コンピュータ・システムの収められるデータとしての情報を脅威から保護することに限られるものではありません。データとしての情報が収められるシステム自体のセキュリティも対象としています。そのシステムがネットワーク・システムである場合には、ネットワーク・システムが「情報セキュリティ」の対象となります。

情報セキュリティ

IT セキュリティ

インターネットの普及、企業内のイントラネット構築の一般化にともなって、さまざまなネットワーク・システムや、インターネット自体を対象とした「情報セキュリティ」の問題に対応しなければならなくなっています。

システムセキュリティ

データセキュリティ

「情報セキュリティ」が確保しようとする目標事項は「1992 OECD 情報システムのセキュリティのためのガイドライン」以降、伝統的に下記の 3項目が列挙されます。

  • 守秘性(Confidentiality)
  • 可用性(Availability)
  • 完全性(Integrity)

これらの 3項目以外にも、下記の目標事項が列挙されることがあります。これらの目標事項は、しばしば セキュリティ上の関心事(Security Concern)と呼ばれます。

  • 否認防止性(Non-Repudiation)
  • 説明可能性(Accountability)
  • 真正性(Authenticity)
ページトップへ

脅威 + 脆弱性 → リスク

脅威(Threat)

IT セキュリティに関して、様々な脅威が考えられます。データやシステムには、権限を持たない者によって、読まれること・改ざんされること・消去されることなどの脅威が一般的に存在しています。ネットワークシステムの場合、盗聴される脅威なども存在しています。さらにシステムへのアクセスにおいて、本人でない者がアクセスを試みる脅威が一般的に存在しています。これらの脅威は、データやシステムの機密性・可用性・完全性を侵害する可能性があるものです。

脆弱性(Vulnerability)

保有している情報システムが、セキュリティ上の脆弱性を持つ可能性があります。オペレーティングシステムの脆弱性である場合もありますし、アプリケーションシステムの脆弱性である可能性もあります。また、ソフトウェアの脆弱性である場合と、セキュリティ上の設定が不備である場合があります。俗に、セキュリティホール(Security hole)と呼ばれることもあります。

リスク(Risk)

様々な脅威が想定される環境において、自らのシステムに脆弱性がある場合、リスクが発生している状況にあるといえます。

ページトップへ

対策

情報セキュリティ上のリスクが発生している場合、対策(Countermeasures)によってリスクを解消したり、軽減することを試みます。技術的な対策が必要であるとともに、継続的な管理による対策も必要です。

ページトップへ