情報セキュリティの定義

情報セキュリティとは、1992年　OECD（経済開発協力機構）より発行された「OECD Guidelines for the Security of Information Systems, 1992」の中で
「情報の機密性、完全性、可用性を保護すること」と定義されている。

「ISO/IEC 27001:2005」では、情報セキュリティとは、「情報の機密性、完全性及び可用性を維持すること。
さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めても良い」と定義されている。

機密性(confidentiality)

• 認可されていない個人、エンティティ（団体等）又はプロセスに対して、情報を使用不可又は非公開にする特性

許可されてい第三者へ漏洩した場合に個人又は、組織に悪影響が発生する情報を保護するために、許可されたもののみ情報にアクセスさせるように制限することが要求される。
機密情報保護する対策としては、サーバーやアプリケーションによるアクセス制御を行うことが該当します。

完全性(integrity)

• 資産の正確さ及び完全さを保護する特性

情報が不正確または、不完全であった場合に、個人または組織に悪影響が発生する情報を保護するために、故意又は、過失による改ざん・書き換え・消失を防ぐことが要求される。
完全性を保護する対策としては、アプリケーションによる入力チェックやアクセス制御を行うことが該当します。

可用性(availability)

• 認可されたエンティティ（団体など）が要求したときに、アクセス及び使用が可能である特性。

必要なときにいつでも利用可能な状態が要求される情報を保護するために、情報を利用できる環境を維持することが要求される。
可用性を保護する対策としては、システムやネットワークを冗長化するなどして、システムダウン等を防ぐことが該当します。

真正性(authenticity)

• 対象またはリソースが要求されているものと同一であることを主張する特性。
  真正性は、ユーザー、プロセス、システム、情報などのエンティティに対して適用する。

電子署名やタイムスタンプなどで改ざん・書き換え・混同などがないことを保証することが要求される。
信頼できる第三者機関が運営している認証局のPKIの仕組みを用いることで、真正性が確保できます。

責任追跡性(accountability)

• あるエンティティの動作が、そのエンティティに対して一意に追跡できることを確保する特性。

匿名性の高いインターネット上でも、行為に責任を取るべきユーザーを追跡し特定できることを要求される。
アクセス権保持者の情報へのアクセスログを取得し、行動追跡を行います。

否認防止(non-repudiation)

• セキュリティサービスの1つ。
  これは、通信における偽りの関与の否認に対する防護を提供する。

ユーザーの利用を事後になって否認されることを防止するために、デジタル署名などで証拠を残すことが要求されます。

信頼性(reliability)

• 矛盾のない計画どおりの動作及び結果を確保する特性

指定された条件下で要求された機能を行う能力のことです。
可用性や生存可能性と密接な関係があります。