情報セキュリティ小学校

【教師】――
いきなりですが、情報セキュリティとはなんですか?

【生徒】――
ズバリ!情報漏えい対策だと思います。

【教師】――
確かに間違いではありませんが、
それだけで括ってしまうのは間違いの元となります。
情報漏えい対策というのは、情報に対する「機密性保護」という情報セキュリティの1つの観点にすぎません。他には「完全性」、「可用性」等の観点があります。

  • 機密性(許可された人にだけ、情報へのアクセスができるようにすること)
  • 完全性(情報やその処理の正確さを確保すること)
  • 可用性(必要なときに情報へアクセスできるようにすること)

【生徒】――
????(なんか、ややこしいぞ)

【教師】――
下記の図を見てください。

情報資産の注意すべきこと

【教師】――
情報資産に対するリスクは

  • 誤廃棄
  • データ改ざん
  • データ消失
  • 情報処理失敗
  • 情報漏えい

などなど、様々なリスクがあり
情報漏えいはその中の一つに分類されます。

情報セキュリティ=情報漏えい対策と一括りにはできないということです。

【生徒】――
なるほどー。情報漏えいは、対外的責任が大きいだけに、そればかりがクローズアップされるから、他のリスクは忘れていました…。
実際には他のリスクも、業務が進まなくなり、関係先に迷惑かけて信頼を失いますもんね。

【教師】――
さらに詳しく言いますと、情報セキュリティの観点は、他にもあります。

  • 真正性(利用者が本人であることを確認し、なりすましを防止すること)
  • 信頼性(意図した動作や結果と一致すること)
  • 否認防止(活動や起こった事象を後から否認されないように証明する能力)
  • 責任追跡性(ある行為を一意に追跡できるようにする特性)

【生徒】
前述の3つに上記の4つがプラスされて、情報セキュリティには7つの観点があるんですね。

しかし、分類っていろいろな分野で活躍してるなあ。ビジネススキルですね。(分類ばかりで、内心めんどくさがっている)

【教師】――
そこっ!!

まだまだ分類、いえ区分しますよ。
情報セキュリティの対策は大きく4つに区分できるんです。

  • 予防的措置(リスクが顕在化しないようにすること)
  • 発見的措置(顕在化したリスク、またはリスクの予兆を検知できるようにすること)
  • 回復的措置(顕在化したリスクから期待したとおりに回復できるようにすること)
  • 追跡性確保(顕在化したリスクに対し、その発生源や原因などを特定または追跡できるようにすること)

【生徒】――
なるほどー(難しそうな言葉使っているけれど、そんなに難しくないな)

【教師】――
情報セキュリティ対策としては、みなさん予防的措置に注力しますが、じつは「発見的措置」や「追跡性確保」が一番大切かもしれません。

【生徒】――
(むむむ、どうしてだろう)

【教師】――
ミスや不正があっても、「発見できる」と「追跡できる」があれば、今後の対策ができ、改善が出来ます。

もちろん不正に関しては、「発見できる」と「追跡できる」という事実を社内で教育、周知していれば、そういった行為も予防できるわけです。

【生徒】――
すごい。一石二鳥ですね。

でもそんな便利なことってどうやって実現できるんですか?

【教師】――
はい、ここからは宣伝になります。

網屋のALogシリーズは、「発見的措置」や「追跡性確保」の仕組みをログ管理によって実現します

だから、予防的な対策をしていてもALog製品は必要ですよー。

【生徒】――
おあとがよろしいようで…。

【教師】【生徒】――
長文お読みくださり、ありがとうございました。

それでは皆様良いお年を。

【ALog ConVerter詳細ムービー】