皆さん、こんにちは。今回から情報セキュリティーに関連した記事を発信していくことになりました。話題は広範に及ぶため、複数の筆者が得意な分野を担当します。

情報セキュリティーと聞くと、パソコンウイルス、偽WEBサイトを使った詐欺行為などを想像するのではないでしょうか。便利なサービスに忍び寄る犯罪行為に対し、最近はいろいろなメディアが注意喚起しているので、ちょっと怖い印象があるかもしれません。

あなたがシステムを担当しているとしたら、安定したサービス提供をするためにシステムや情報そのものを守る対策を想像するでしょう。ネットワーク担当だったら、ネットワークが通信機能を維持するために必要な対策はいくつも思い浮かぶはずです。セキュリティーポリシーに沿って優先順位をつけて実施していくという流れだと思います。

立場によっていろいろに見えて全体像がつかみにくい情報セキュリティーですが、実はJIS Q 27000 で定義されています。総務省のサイトを見てみますと、情報セキュリティーの概念として説明されています。

引用しますと、「企業や組織における情報セキュリティーとは、企業や組織の情報資産を『機密性』、『完全性』、『可用性』に関する脅威から保護すること」です。

（https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_executive_02.html）

情報資産とは企業や組織などで保有している情報全般のこと。機密性 (Confidentiality)とは許可された者だけが、その情報にアクセスできること。完全性 (Integrity)とは保有する情報が正確であり、完全な状態を保持すること。可用性 (Availability)とは許可された者が必要な時にいつでも情報にアクセスできるようにすること、とあります。機密性、完全性、可用性は「情報セキュリティーの3要素」と呼ばれています。

この定義によれば、ＩＴ（情報技術）機器が発達する前から情報セキュリティーはあったと言えます。例えばエニグマ暗号はご存じの方も多いと思いますが、第２次世界大戦でドイツ軍が使用したこの通信暗号方式は機密性を確保する機能です。また「機密」「重要」とかハンコを押した紙の資料を見たことはないでしょうか。機密性確保の方法と言えそうです。また今でも風習が残っている紙の契約書に押す割り印は完全性を確保する方法です。

現代ではＩＴを使って情報を収集、加工、管理、出力します。ですから、情報セキュリティーを実践するためには、使用するＩＴの技術、機材、運用などに注目し対策していくことになるのです。

今回は情報セキュリティーの定義をご紹介しました。これから新たな情報セキュリティー対策を検討する場合、上記の3要素のどれに該当するのか当てはめてみると、その必要性や位置づけが判断しやすくなると思います。

日経統合システム（NAS）は本日、「セキュリティーブログ」を始めました。原稿は主にセキュリティービジネスユニットの担当者が執筆します。セキュリティーオペレーションセンターやクラウド監視などを手掛けるプロ集団の視点から情報セキュリティー分野の動向に関心をお持ちの方々に役立つ情報の発信に努めます。

セキュリティーブログは順次、ホームページの「新着情報」に掲載していきます。質問などはホームページのトップにある「お問い合わせ」からお送りください。今後もNASのセキュリティーブログにご期待ください。