No.236 ISO情報セキュリティマネジメントシステム その7-1/2

ITコラム
2017年12月11日

ISO 飛鳥 石橋一史によるITコラム
~帝国ニュースに掲載されたものを紹介していきます~

 

今週は、箇条9:アクセス制御を読み解こう。

情報管理におけるリスクには「機密性」「完全性」「可用性」の三つの要素の喪失があり、基本的な概念であることから、今回は本論に入る前に、この3つの要素に踏み込んでみよう…

機密性:文字通り、秘匿性を担保すること

権限を持つ者以外のアクセスを制御する。これは電子データだけでなく、重要な紙媒体書類の施錠管理、ノウハウ度の高い設備域への立ち入り制限、人的啓蒙を促すための機密保持契約、覚書、念書などがある。

完全性:情報の完全な状態(壊れていない)を保つこと

電子データの毀損、重要紙媒体の紛失・遺失からの保護。アクセス管理、キャビネットなど保管場所の施錠管理、不特定者の立入制限のためのセキュリティー会社への委託、防犯カメラの設置などがある。

可用性:利用可能者(権限保持者)が必要な時にアクセスできること

情報資産の適切な管理によって業務に支障をきたさない枠組を確保。担当者不在の場合にアクセスが必要と判断した時の手順、システムあるいは端末データのバックアップ、電源トラブル時の対応設備(バックアップ電源)および手順。

お気付きの通り、「機密性・完全性・可用性」の施策には共通するものが多く、情報セキュリティーシステムを構築する際には、この三要素をイメージしておくとよい。