|
- ISMS
- ISMSとは情報セキュリティマネジメントシステム(Information Security Management System)の略称である。企業などの組織が情報を適切に管理し、情報セキュリティを確保するための体系的なしくみ。コンピュータシステムのセキュリティ対策だけでなく、情報を扱う際の基本的な方針(セキュリティポリシー)や、それに基づいた具体的な計画、計画の実施・運用、一定期間ごとの方針・計画の見直しまで含めた、トータルなリスクマネジメント体系のことを指す。
- 情報セキュリティ
- 情報セキュリティとは、ISO27001:2005では次のように定義されている。
情報セキュリティ(information security)とは情報の機密性,完全性及び可用性を維持すること。さらに,真正性,責任追跡性,否認防止及び信頼性のような特性を維持することを含めてもよい。ここで、機密性(confidentiality)とは、認可されていない個人,エンティティ又はプロセスに対して,情報を使用不可又は非公開にする特性をいう。また、完全性(integrity)とは、資産の正確さ及び完全さを保護する特性をいい、可用性(availability)とは、認可されたエンティティが要求したときに,アクセス及び使用が可能である特性をいう。これらをバランスよく維持することを指す。
機密性: アクセスを許可された者だけが、情報にアクセスできることを確実にすること。
完全性: 情報および処理方法が正確であること及び完全であることを保護すること。
可用性: 認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすること。
- リスクアセスメント
- 情報および情報処理施設/設備に対する脅威、影響およびその脆弱性ならびにそれらが起こる可能性の評価
- リスクマネジメント
- 許容コストにより、情報システムに影響を及ぼす可能性があるセキュリティリスクを明確にし、制御し、最小限に抑制するか、または除去するプロセス
- 適用宣言書
- 組織のニーズに適合した管理目的および管理策の採否表
- 情報セキュリティ基本方針
- 情報セキュリティのための経営責任者の指針及び支持を規定したもの。
- 情報資産
- 組織にとって、情報セキュリティが損なわれた時に損害を被る可能性のある有形または無形の資産のこと。(情報、ソフトウェア、物理的資産、システム、サービス等)
- 脅威
- システム又は組織に危害を与える、好ましくない事故の潜在的な原因。
リスクを考える上では、攻撃頻度の推定も重要である。情報資産の知名度が高く、攻撃者が多かったり、攻撃ツールの入手が容易で攻撃しやすいと攻撃頻度も高くなる。
脅威の種類は、@意図的(故意)、A偶発的(故障・過失)、B環境的(災害)の3種類に分類することもできる。
脅威には情報資産を直接脅かすものと、間接的に脅かすものがある。ここで間接的に脅かす脅威とは、次の攻撃をするための準備的な攻撃を行うものを指す。本来の情報資産である情報やサービスだけでなく、ログ、ソフトウエア、セキュリティ機能データ、セキュリティ機能、ハードウエア、人、電力、建物なども攻撃対象になる。
特に、ログは改ざんや削減がなされると責任追及ができなくなるので重要である。ソフトウエア、セキュリティ機能データ、セキュリティ機能、ハードウエア、人、電力、建物なども攻撃の次のステップへの途中段階として攻撃される。
- 脆弱性
- 脅威によって危うくなる情報資産の弱さ、もしくは対策レベルの低さ。
情報資産の脆弱性とは、情報資産の機密性・匿名性、完全性・責任追及性、可用性が脅威から防御されていない点をいう。つまり、組織的対策、技術的対策が実施されていないため、情報資産が脅威にさらされていることをいう。
情報資産の脆弱性は@物理レイアウト、A組織、B人、C管理、D管理者、Eハードウエア、Fソフトウエア、G情報、にある。さらに、脆弱性は@脅威、A情報資産の置かれている環境、B現状の安全対策、を考慮して分析するとしている。
例えば、同じデータでも、IDカードと守衛による入退室管理が行われているマシンルームと、それが行われていない一般の職場では異なる。ネットワークも専用線とインターネットでは異なる。
脆弱性は別の言い方をすれば、本来、セキュリティ対策が導入されるべきなのにまだ導入されていない部分、@組織的対策やA技術的対策から不十分な部分である。脆弱性はセキュリティ対策の裏返しともいえる。
- リスクとリスク管理
- リスクとは、脅威が情報資産の脆弱性を利用して、損害を与えること。リスクと管理とは、リスクの移転、回避、管理策での対応、許容(容認)など、それぞれのリスクに適用するプロセス。
- マネジメントレビュー
- 経営者による見直しのことである。方針・目標などの当初設定していたものと、実際にマネジメントシステムを運用した状況・結果の情報を経営者が定期的に評価するもの。
- ハウジング
- お客様のサーバを預かって運用する業務
- ホスティング
- 自社で所有するサーバを賃貸して運用する業務。ホームページ作成業務を含むこともある。
- ASPサービス
- Application Service Providerの略。ビジネス用のアプリケーションソフトをインターネットを通じて利用するサービス。利用者は、ASPサービスを提供する事業者と契約して利用することができる。
Copyright © 2005-2018 TATECS , All Rights Reserved.
|