情報セキュリティの定義 - ITコンサルティング全般 - 専門家プロファイル

岡本 興一
ウィジット株式会社 代表取締役
ITコンサルタント

注目の専門家コラムランキングRSS

対象:ITコンサルティング

本間 卓哉
本間 卓哉
(ITコンサルタント)
青田 勝秀
青田 勝秀
(Webプロデューサー)
岡本 興一
岡本 興一
(ITコンサルタント)
本間 卓哉
(ITコンサルタント)

閲覧数順 2016年12月03日更新

専門家の皆様へ 専門家プロファイルでは、さまざまなジャンルの専門家を募集しています。
出展をご検討の方はお気軽にご請求ください。

情報セキュリティの定義

- good

  1. 法人・ビジネス
  2. ITコンサルティング
  3. ITコンサルティング全般
リスクマネージメント
世界標準である規格 ISO/IEC27001 や、日本の内閣府では、以下の情報セキュリティを以下の様に定義しています

"情報資産の機密性、完全性及び可用性を維持すること"

誤解を恐れずに、単純化して説明すると、必要な人にだけ必要な情報が、毀損、漏洩、改変されることなく、必要な情報を得ることができる様にすることです。

さらに言い換えると、以下の様になります。

・どの情報に誰がアクセスできるかを明確にすること
・情報を漏洩させないこと
・情報が壊れない様に保全すること
・利便性が維持できること

厳しくすればよいというものではありません。
実用面で、十分に使えるものでなくてはならないのです。

さらに、これらをきちんと行うためには、以下の様な活動が必要です

・自社で保有している情報とはどんなものがあるのか整理する
・そうした保有情報がどの様な形で保管、利用されているかを明確にする
・情報を必要としている組織、人物を明確にする
・情報の流れを明確にする
・それらの脆弱性を判定する
・情報の重要度を明確にする(漏洩、毀損時の被害、事故発生確率、伝播性等)

こうした活動を差し、リスクアセスメントと呼んだりします。

このリスクアセスメントを行わなければ、守るべき情報資産が何か?が不明確で、何から守るべきか?もわかりません。
さらに、どの程度のコストをかけて守るべきか、どのレベルまで防御しなくてはならないのか?が決まらないのです。

結局、会社内の業務を明確にして、情報の流れを明確にするところがスタートとなります。

さらに、各種施策の実施については、経営者の判断が必須です。
費用対効果、価値に対する判断は現場ではできません。

すなわち、会社全体を見渡した上でセキュリティ対策に取り組まねば、安全とは言えず、経営者の視点が不可欠なのです。


ネットとセキュリティ〜ウィジット株式会社
岡本興一