システム開発必須!!セキュリティの3要素

システム開発必須!!セキュリティの3要素

情報セキュリティを専門にしていなくても、知っておくべきセキュリティの3要素について説明します。

機密性とは?

機密性(confidentiality)とは、業務上必要のある者だけが必要なときだけに必要な場所だけから必要な情報だけにアクセスできる状態にあることを言います。人·時間・場所の視点から情報へのアクセスが保護されているかどうかを考えればわかりやすいと思います。

機密性が阻害される事例としては、個人情報や機密情報の漏えいが代表的で、不正や過失により個人情報や機密情報が第三者に流出したり、権限のない者によって、情報が見られたり読まれたりしてしまう状態になることです。情報漏えいや情報の不正利用は、内部犯行によるものと外部犯行によるものに分けられます。

内部犯行とは、企業の情報セキュリティ管理に不備がある場合に発生するもので、例えば、ある自治体のシステム業務の委託先でアルバイトの大学院生が、乳幼児の健診データを不正にコピーして名簿業者に販売した事件、教育関連の企業で外部委託先のシステム管理者がスマホを使って情報を窃取して販売した事件、通信会社の販売代理店で顧客情報を窃取した事件など、従来から多数発生しています。

外部犯行としては、例えば情報システムの不備を突いて外部からある企業や自治体などの組織のシステムに侵入して情報を窃取したり、コンピュータウイルスに感染させて情報を漏えいさせたりすることなどが挙げられます。以上のように、故意に機密性を侵害する場合のほかに、過失によって機密性が阻害されるケースもあります。

なお、後者の過失のケースとしては、例えば、電子メールを送信する際に、宛先をBCCにして送信すべきところをCCにして送信してしまい、メールアドレスが流出した事例などが挙げられます。

インテグリティ(完全性)とは?

インテグリティ(integrity)とは、情報が正当な権限を持つ人でないと変更ができないことが担保されていることです。インテグリティが阻害される事例としては、例えば、請求書の金額に誤りがあった事件や、駅での乗車時の精算金額の設定に誤りがあった事件などがあります。各種の取引を行なう場合に、住所、氏名、金額など取引上の基本的な情報に誤りがあれば、業務を適切に遂行することができないので、情報システムを安全に利用するためには、インテグリティの確保が必須要件になります。

インテグリティは、情報の正確性が強く求められている企業などの場合にはとても重要です。例えば、金融機関で扱う情報に誤りがあると、企業の信用失墜だけでなく社会不安につながることもあるので、金融機関では、インテグリティを確保するためのコストや手間を他の事業会社に比べて多くかけているわけです。

また医療機関の場合でも、電子カルテなどの情報システムに患者の情報を誤って入カしてしまうと、患者の生命や身体に重大な影響を及ぼすことになるので、インテグリティを十分に確保する必要があります。

このように、インテグリティについて検討する場合、業種や企業によってその重要性が異なることに留意しなければいけません。インテグリティを阻害する原因としては、情報システムの不具合(バグ)だけでなく、入カミスによるものもあります。

例えば、スーパーマーケットの商品マスターの登録ミス、POS レジへの入力ミス、文字の変換ミスなど、様々な場面で人為的なミスは発生します。またOCR(光学的文字認識)入力であっても、文字の認識ミスもあるので、二回読み取るなどの対策を講じる必要があります。

可用性とは?

可用性(availability)とは、情報システムを利用したいときに利用できる状態にあるということです。ビジネスパーソンは、オフィスに出社すると最初にパソコンの電源を入れて、情報システムにログインします。

そのパソコンが立ち上がらなかったり、情報システムにログインできなかったりする場合には、業務を遂行することができずに、大変困った事態に陥ってしまいます。また昨今は、社外からタブレット端末やスマホなどのモバイル端末を利用したり、海外から情報システムヘアクセスしたりすることも少なくありません。

可用性を阻害する原因としては、ソフトウェアの不具合(バグ)、システム運用ミス、ハードウェアの故障、ネットワーク障害、マルウェア(悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなど)への感染などが挙げられます。このように、情報システムが企業活動の重要なインフラとなるのに伴って、可用性の確保がますます重要になってきています

セキュリティカテゴリの最新記事