(情報)セキュリティ

セキュリティ(security)： JIS X 0008:2001 08.01.01
通常，適切な行動をとることにより，事故又は悪意に基づく行為からデータ及び資源を保護すること．

情報セキュリティ(information security)： JIS X 5080:2002
情報の機密性，完全性および可用性の維持

一つ目は今まで説明してきたように，データと資源を守るということを指しています．車の例で言えば，「鍵をかける」という「適切な行動をとる」ことによって，車と車の中にあるものを「保護すること」であるということです．

二つ目は「機密性」「完全性」「可用性」という新しい用語が出てきました．この三つは情報セキュリティの三要素と呼ばれるもので，現代の情報セキュリティの概念はこの三つを守るということに着目されています．

それではこの三つの用語について解説します．

機密性

機密性(confidentiality)： JIS X 0008:2001 08.01.09
データの特性であって，そのデータが，認可されていない個人，プロセス又は他のエンティティに利用可
能とならない程度，又は暴露されない程度を示すもの．

機密性(confidentiality)： JIS X 5080:2002
アクセスを認可された(authorized)者だけが情報にアクセスできることを確実にすること．

二つ目のほうが理解しやすいでしょうか．車の例で言えば，「鍵を持っている人＝アクセスを認可された者」だけが車の中の物に触れる(アクセスできる)ことを確実にすることです．一つのドアの鍵を閉めていても別のドアに鍵がかかっていなければ意味がありません．ドアの鍵だけでなく，中を覗かれるということも考えられます．秘密の文書を窓から見えるところにおいてしまったら，いくら鍵をかけても覗かれてしまいます．
見る権利のある人だけが見れる，触る権利のある人だけが触れるようにするのが機密性です．

完全性

データ完全性(data integrity)： JIS X 0008:2001 08.01.07
データの特性であって，その正確さと一貫性が，データにどのような変更を行っても保存されるもの．

システム完全性(system integrity)： JIS X 0008:2001 08.01.27
データ処理システムの品質であって，認可されていない利用者による資源の変更又は利用を防ぐとともに
，認可された利用者による資源の不適切な変更又は不適切な利用を防ぎながら，データ処理システムがそ
の運用上の目的を満たす度合い．

完全性(integrity)： JIS X 5080:2002
情報及び処理方法が，正確であること及び完全であることを保護すること．

最初の二つは「データ」と「システム」に分けて定義していますが，いずれも対象となるものが過不足無く，変更が加えられない状態に保つことを指しています．車の例で言えば，シートを刃物で傷つけられたり，車の中がゴミ捨て場にされたりというようなことです．あるべき状態になっていることが完全性です．

可用性

可用性(セキュリティにおける)(availability)：JIS X 0008:2001 08.01.17
認可されたエンティティから請求があり次第，アクセスし利用できるようにする，データ又は資源の特性．

可用性(availability)： JIS X 5080:2002
認可された利用者が，必要なときに，情報及び関連する資産にアクセスできることを確実にすること．

二つ目には「情報」と「関連する資産」という用語が出てきますが，車の中の物と車そのものと置き換えるとわかりやすいかもしれません．例えば，ハンドルを盗まれてしまったら，車を運転することが出来ません．この場合は車というものの完全性も失われているわけですが，それと同時に車を利用することが出来なくなります．このように必要なときに利用可能であるかどうかを可用性という言葉で表します．資産については次回以降で解説します．

「機密性」，「完全性」，「可用性」というものがどのようなものかお分かりいただけたでしょうか．繰り返しになりますが，この三つを「情報セキュリティの三要素」と呼び，これらを維持することを「情報セキュリティ」と呼んでいます．

情報セキュリティの三要素は， OECD(Organization for Economic Cooperation and Development：経済協力開発機構) が1992年に発表した “OECD Guidelines for the Security of Information Systems” の中で初めて明確に公表されました．このガイドラインは2002年に “OECD Guidelines for the Security of Information Systems and Networks TOWARDS A CULTURE OF SECURITY” として改訂されています．