本日はCIAについて。
あかり
部長!セキュリティを強化するにあたり、何を重要視すればいいんですか?
部長
セキュリティを強化するために重要となる要素としてCIAがある
CIAとは
情報セキュリティの3要素である「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)のこと。
あかり
アメリカの中央情報局のことじゃなかったんですね
部長
・・・
機密性
情報が許可された人やシステムだけにアクセスされることを保証することで、不正なアクセスを防ぐために暗号化、アクセス制御リスト(ACL)、認証システムなどが利用される
完全性
情報が正確であり、変更されていないことを保証することで、データが意図せず改ざんされたり破壊されたりしないように保護するために、チェックサム、ハッシュ関数、デジタル署名などが使用される
可用性
情報やシステムが必要なときにアクセス可能であることを保証することで、システム障害、自然災害、サイバー攻撃から保護するために、バックアップ、冗長化、ディザスタリカバリ計画(DRP)などが実施される
あかり
この3要素を意識して、セキュリティを強化すればいいんですね!
でも、具体的にどうすればいいんですか?
部長
まず、機密性は個人情報など重要なデータを守ることが前提だ
そのうえで、必要な人だけがそのデータにアクセスできるようにする必要がある
あかり
例えば社内のファイルサーバにある個人情報も人事の担当者や経営層だけがアクセスできるように、権限を割り当てる
といった対策が必要ということですね!
部長
その通り
また、個人を特定できる可能性のある個人に関するあらゆるデータをPII(Personally Identifiable Information)と呼ぶことも覚えておくといい
あかり
個人を特定できる可能性のある個人に関するデータってどんなものですか?
部長
名前や生年月日、社会保障番号といった、個人を直接識別できるものや、IPアドレス、クレジットカードの番号など、他と組み合わせることで個人識別できるものも含まれるんだ
あかり
個人を特定できるものってたくさんあるんですね
部長
PIIだけでなく、PHI(Protected Health Information)も重要だ
これは個人の健康状態、医療提供、医療費に関連する情報で、HIPAA(Health Insurance Portability and Accountability Act)などの法律によって保護されている
あかり
法律も出てくるんですね!
部長
ISC²メンバーたるもの、こういった個人情報に対する法律は覚えておく必要がある
国によっても規制されている法律が違うので注意が必要だな
あかり
頭が痛くなりそうです。。。
法律は置いておいて、完全性は何を強化すればいいんですか?
部長
完全性は、データやシステムが改ざんや変更されないようにすることが大切だな
あかり
データが勝手に書き換えられることを防ぐということですね
たしかに私の生年月日が勝手に書き換えられたら困ります
部長
データの対象は保存されているデータだけでなく、処理されているデータ、転送中のデータも完全性を守ることに注意だ
あかり
部長!
では、可用性は何を強化すればいいですか?
部長
可用性で重要なポイントは、システムやデータが必要なときに利用可能であることを確保する必要があるということだ
あかり
その情報にアクセスしたいときに、アクセスできなかったらアウトということですね
部長
ああ、ただここで注意なのが、求められる可用性というのは、データに、タイムリーで信頼性の高いアクセスができるというビジネス要件を満たしていることなんだ
あかり
最近ですと、ランサムウェアなんかは可用性が失われますものね
部長
CIAそれぞれで何を求められているかを正しく理解して、強化策を講じることが大切なんだ
あかり
理解しましたー!
次回もよろしくお願いします!
セキュリティエンジニア向け〜セキュリティ資格取得への道〜をもっと見る
購読すると最新の投稿がメールで送信されます。