実践リスクマネジメント要覧 理論と事例
企業を取り巻く様々なリスクおよび対応策について、MS&ADインターリスク総研が総力をあげてまとめた一冊です。業種・業界を問わず、企業・組織のリスクマネジメント推進において参考となる一冊です。
「実践リスクマネジメント要覧」の購入はこちら
情報セキュリティ
一般的には、情報セキュリティは「情報の機密性、完全性、および可用性を維持すること」と定義されている。これは情報セキュリティマネジメントシステムに関する国際規格である、ISO/IEC 27000シリーズにおける定義である。
機密性(confidentiality)とは、認可されていない個人、エンティティまたはプロセスに対して情報を使用させず、また、開示しない特性と定義されている。なお、エンティティとは、「実体」「主体」などともいい、情報セキュリティにおいては、情報を使用する組織および人、情報を扱う設備、ソフトウェアおよび物理的媒体などを意味する。機密性が確保されている状態とは、正当な権利・権限をもった者だけが情報にアクセスできる状態を指す。
完全性(integrity)とは、正確さおよび完全さの特性と定義されている。情報が改ざん、破壊されることなく、正確、完全である状態を保持することを指す特性である。 可用性(availability)とは、認可されたエンティティが要求したときに、アクセスおよび使用が可能である特性と定義されている。つまり、正当な権利・権限をもった者が、必要なときに情報にアクセスできることをいう。
情報セキュリティリスクは、情報セキュリティの3つの特性が阻害される可能性であり、3つの特性を阻害する要因である「脅威」が情報資産の弱点である「脆弱性」につけこんだ結果、事故・事件(インシデント)が発生する、という形で顕在化する。そのため、情報セキュリティリスクを分類する際には、「脅威」による分類、あるいは「脅威によって引き起こされたインシデント」による分類など、様々な分類方法が考えられる。
