基本情報技術者試験で問われる情報セキュリティの基本を解説!

キーボードの上に置いてある鍵

情報セキュリティはシステムの世界において大切な要素です。基本情報技術者試験のシラバスにおいても、情報セキュリティは重要要素として指定されています。情報セキュリティに関する知識は、基本情報技術者試験の合格のためにはもちろんのこと、システム業界で活躍していくためには必ず必要となる知識です。

この記事では、情報セキュリティの基本となる情報セキュリティの3要素・7要素、情報セキュリティに対する脅威や情報セキュリティ管理方法について解説します。

目次

情報セキュリティの概要

まず、情報セキュリティの概要について以下で解説します。

情報セキュリティとは

情報セキュリティとは、情報資産を保護するための対応を行うことを指します。厳密な定義としては、情報資産の機密性・完全性・可用性等を維持することを意味します。これらの用語はのちに詳細を解説します。

情報セキュリティは、コンピュータシステム上の世界はもちろんのこと、重要情報が記載された契約書等の紙媒体や社員証のようなセキュリティーキーなど、幅広い世界に関係してきます。あらゆる場面において情報資産を守れるようにセキュリティ対策を行うことが重要となります。

情報資産

情報セキュリティで守るべき情報資産とは何でしょうか。情報資産は、価値のある保護すべきすべての情報のことを指します。例えば、社内の機密情報や顧客の個人情報、ECサイト上での決済情報や取引先の購買情報など、企業で扱う多くの情報は資産価値のある情報資産と呼べます。

一般的には情報資産を情報セキュリティ管理の対象とします。過剰・過少な対策を避けるためにも、情報資産の価値の高低に応じて、情報セキュリティ対策のレベルも変えていきます。

情報セキュリティの3要素・7要素

ここでは、情報セキュリティの3要素および7要素について解説します。情報セキュリティの3要素および7要素は、情報セキュリティの最も基本となる要素です。情報セキュリティ対策は、これらの要素を守るために行います。

情報セキュリティの3要素は、特に重要な「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)を指します。3つの言葉の頭文字をとってCIAなどと呼ばれることもあります。

この3要素に加え、さらに「真正性」 (authenticity)、「責任追跡性」 (accountability)、「信頼性」 (reliability)、「否認防止」 (non-repudiation)の4点を加えたものをセキュリティの7要素と呼びます。

機密性

機密性とは、情報を不正アクセスから守り、漏洩させないことを意味します。アクセスを許可された人だけが情報資産にアクセスできる状態であれば、機密性は守られていることになります。具体的には、パスワード認証やアクセス制御、暗号化などが機密性を守るための対策となります。

完全性

完全性とは、情報の書き換えや削除、つまり情報資産の改ざんを防ぐことを意味します。情報資産が改ざんされてしまうと、情報としての信頼性が失われてしまいます。具体的には、デジタル署名やタイムスタンプなどが完全性を守るための対策となります。

可用性

可用性とは、情報を利用したいときに利用できることを意味します。可用性が失われると、利用者は自由に情報資産を利用できなくなってしまいます。具体的には、システムの二重化やRAID、負荷分散装置、UPSなどが可用性を守るための対策となります。

真正性

真正性とは、なりすましを排除し、認められた人のみが利用できることを意味します。悪意のある利用者が偽ってシステムを利用するケースもありますし、フィッシングサイトのように悪意のあるシステムが偽って利用者を誘導するケースもあります。具体的には、パスワード認証やデジタル署名などが真正性を守るための対策となります。

責任追及性

責任追及性とは、情報の取り扱い記録を保持し証跡を残すことを意味します。利用者がどのようにシステムを利用したのか、もしくはシステムがどのように動作したのかを、後から確認できることがポイントとなります。

具体的には、アクセスログやログインログ、システムログの保存・管理やログのバックアップなどが責任追及性を守るための対策となります。

信頼性

信頼性とは、意図したとおりに情報を活用できることを意味します。システムがユーザの意図に合わせて矛盾なく動作することで信頼性を保つことができます。具体的には、プログラムの例外処理やシステムテストによるバグの排除、ハードウェアの冗長化などが対策となります。

否認防止性

否認防止性とは、情報の取り扱い記録に対するユーザの虚偽を防ぐことを意味します。責任追及性と意味合いは近いですが、システム等の操作を実施した人が確実に実施したことを証明することが必要です。具体的には、アクセスログ等におけるユーザIDの記録やユーザIDと個人の紐づけなどが対策となります。

情報セキュリティに対する脅威

情報資産に対しては様々な脅威が存在し、情報セキュリティを脅かします。情報セキュリティに対する脅威は大きく「技術的脅威」「人的脅威」「物理的脅威」の3つに分けることができます。

技術的脅威

技術的脅威は、コンピュータ技術を利用した脅威のことです。サイバー攻撃をイメージする際に真っ先に思い浮かぶのが技術的脅威です。主に不正アクセスやコンピュータウイルスの利用などが技術的脅威の代表です。

技術的脅威には、様々な攻撃手法が含まれます。技術的脅威の例は下表のとおりです。

名称 概要
フィッシング 銀行等の偽サイトを表示し、ユーザにログイン情報などを入力させることでユーザ情報を盗むこと。
SQLインジェクション Webサイトのフォームに不正な文字列を入力することで、システムのデータベース情報を抜き出すこと。
SEOポイズニング 検索サイトの検索上位にウイルス等が含まれたWebサイトを表示させるようにして攻撃すること。
DoS、DDoS攻撃 サーバに大量のデータを送りつけ、サーバを停止させること。特に複数人で実施する場合はDDoS攻撃と呼ばれる。
Webビーコン Webサイトやメールに非常に小さい画像情報を埋め込み、ユーザの利用情報を収集すること。
ブルートフォース攻撃 総当たりでパスワード認証を繰り返し、無理やりログインを試みること。
スパイウェア コンピュータ内にある情報資産を収集し、外部サーバへ送るプログラムのこと。

人的脅威

人的脅威とは、主に人のミスや悪意を持った人による行動によってセキュリティが脅かされることを指します。

近年では、標的型攻撃と呼ばれる攻撃手法により、人に対するサイバー攻撃が増えています。標的型攻撃とは、メールや電話などで本当の取引先などのようにふるまって機密情報などの情報資産を盗む攻撃手法のことです。また、ソーシャルエンジニアリングと呼ばれる攻撃手法では、システム管理者などを装うことで機密情報を盗み出そうとします。

これらの攻撃は、システム面の対策だけでは防ぎきることができません。労働契約や秘密保持契約の締結に加え、社員への継続的な教育などが有効な対策となります。

物理的脅威

物理的脅威とは、災害や故障、盗難などの脅威を指します。物理的脅威は情報システム以外の一般的な危機管理対策と類似する部分があり、社内に入るための暗証番号やカードキーの設定、災害保険への加入、データの保管個所を複数個所に分けることなどが主な対策となります。

近年では、事業継続性(BCP)や災害対策(DR)などの文脈と合わせて、物理的脅威への対策は企業において重視されつつあります。

情報セキュリティ管理

情報セキュリティを維持するためには、情報セキュリティ管理を行うことが必要となります。あらゆる企業において、情報セキュリティ管理の実施は必須事項です。

リスク管理

リスクという言葉は一般名詞となっていますが、特に情報セキュリティの文脈では、情報セキュリティを損ねる要因のことをリスクといいます。主に上述した情報セキュリティに対する脅威がリスクとなります。情報セキュリティ管理においては、リスクを評価し対策を検討することが必要となります。

リスクを把握するために、情報セキュリティ管理の一環としてリスク分析を行います。リスク分析では、自社の持つ情報資産の洗い出しや各情報資産の重要度設定、そして各情報資産に対するリスクの種類や内容などを整理します。
そのうえで、リスクアセスメントとしてリスクを定量的・定性的に評価し、どのリスクを重点的に対策するのか、もしくはどのリスクを許容するのかなどの判断を行います。

リスク分析で把握したリスクは、継続的にリスク管理を行っていきます。環境や状況の変化に合わせて、リスクを見直し、常に最新の状態とします。

情報セキュリティ諸規程

情報セキュリティ管理を行う上では、情報セキュリティに関する社内規程を設定することが必要となります。

最も基本となる規程として、情報セキュリティ基本方針(または情報セキュリティポリシー)を策定します。情報セキュリティ基本方針は、企業として情報セキュリティをどのように考え、どのように情報セキュリティを守るのかを示した最も重要な規程です。
情報セキュリティ基本方針は一般的に企業のWebサイトなどで公開されていますので、いずれかの企業のものを見てみるとよいでしょう。

一般的には、さらにその下部規程として情報セキュリティを守るために具体的に実施する手続きや決まり事を規程していきます。主な規程としては、個人情報を管理するための個人情報保護規定やセキュリティ事故発生時の対応を記載したインシデント対応規程などが作られることが多いです。

情報セキュリティ組織

情報セキュリティ対策を行う上では、情報セキュリティ管理のための組織を設定することが必要となります。まず、最上位の組織として「情報セキュリティ委員会」や「情報セキュリティ会議」といった名称で、社長以下経営層が加わった組織を作成することが一般的です。企業の情報セキュリティ対策は、社長をトップとして実施することが多いです。

また、情報セキュリティの問題が発生していないか監視する組織として「CSIRT」(Computer Security Incident Response Team:シーサート)を設置したり、情報セキュリティ事故が発生した場合の対応組織として「SOC」(Security Operation Center:セキュリティオペレーションセンター)を設置します。

ISMS

ISMS(Information Security Management System)とは、その言葉通り情報セキュリティマネジメントシステムのことです。企業は情報セキュリティを守るために、ISMSに沿って継続的な運用・改善を行います。

ISMSでは、以下の手順で情報セキュリティ管理を行います。

  • リスクの分析
  • リスクの評価
  • リスク対応のための管理目的及び管理策の選択
  • 適用宣言書の作成

ISMSを順守して情報セキュリティ管理を行うことで、認証機関による認証を受けることができます。もっとも有名なISMS認証は国際標準化機構が策定したISO27001で、ISO27001の認証を取得することで情報セキュリティ管理が正しく行われている企業であることを証明することができます。

まとめ

この記事では、基本情報技術者試験を受けようとされている方に向けて情報セキュリティについて解説しました。

情報セキュリティは基本情報技術者試験において最重要ポイントとなります。さらに、基本情報技術者試験だけではなく、情報処理技術者試験全般において重視されている要素ですので、将来的により上位の試験を受けステップアップしたいと考えている方にとっては避けては通れない分野となります。

この記事を読んで、分からないところがあれば重点的に学習することをおすすめします。

基本情報技術者コラム一覧へ戻る
割引クーポン配布中
×
クーポンバナー

クーポンコードはこちらから

4EBL9127

クーポンコードを使用する

上記ボタンをクリックするとクーポンコードをコピーできます。
クーポンコードはご注文時にご利用下さい。