円滑なコミュニケーションには,
前回は
今回も
ISO/IEC TR 13335-1はITセキュリティの概念・
この連載はWebセキュリティ,
セキュリティ対策とは?
ITセキュリティ対策とは普遍的なもので,
- 機密性
(Confidentiality) 許可されたユーザやプログラム以外に情報を非開示・
使用不可にすること - 完全性
(Integrity) 許可されていない方法でデータの改ざん・
破壊がされず, 本来果たすべき機能を滞りなく実行すること - 可用性
(Availability) 許可されているシステムが利用可能であること
- 責任追跡性
(Accountability) ユーザやプログラムの動作を一意に追跡できること
- 真正性
(Authenticity) 操作を要求しているユーザ・
プログラムがそのユーザ・ プログラム自身であること - 信頼性
(Reliability) 矛盾なく計画通りの動作と結果を確保すること
ITセキュリティ対策とはITセキュリティを守るための対策であり,
ISO/
セキュリティ対策とセーフガード
一般に
- セーフガード
(Safeguard) の定義 - リスクを低減する実践,
手順, 又はメカニズム
プログラマやITエンジニアの視点から見れば,
「セキュリティ対策」
- 組織のITセキュリティの目的,
戦略, 及び対策の決定 - 組織のITセキュリティ要件の決定
- 組織内のIT資産に対する,
セキュリティ上の脅威の識別及び分析 - リスクの認識及び分析
- 適切なセーフガードの指定
- 組織内の情報とサービスの費用対効果に優れた方法で保護するために必要な,
セーフガードの実施及び稼働の監視 - セキュリティ意識向上プログラムの開発及び実施
- 偶発事件の検出及び対応
(原文のまま)
これらのマネジメントプロセスすべてがITセキュリティ対策と言えます
この記事の中では一般的な用法に従って,
- ※1
ISO27000もセキュリティマネジメントシステム規格であるため同様の管理モデルを要求しています。
- ※2
規格の中では
「これがITセキュリティ対策です」 といった定義はありません。文書全体がITセキュリティ対策の実施を行うマネジメントモデルを定義する体裁になっています。