セキュリティ
せきゅりてぃ
経営情報システム
頻出
ひとことで言うと
情報資産の機密性・完全性・可用性(CIA)を維持し、脅威からシステムや情報を保護する取り組みの総称。
解説
情報資産を脅威から保護し、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を維持すること。技術的対策(暗号化、ファイアウォール等)、物理的対策(入退室管理等)、人的対策(教育・訓練等)、組織的対策(ポリシー策定等)を組み合わせて実施する。情報セキュリティマネジメントシステム(ISMS)により体系的な管理が行われる。
くわしく解説
情報セキュリティとは、企業や個人が保有する情報資産を様々な脅威から守るための概念・対策の総体である。中核となる3要素はCIA:機密性(Confidentiality)=許可された者だけがアクセスできること、完全性(Integrity)=データが正確で改ざんされていないこと、可用性(Availability)=必要なときにシステムやデータを利用できることである。対策は技術的対策(暗号化・ファイアウォール・IDS/IPS・認証)、物理的対策(入退室管理・施錠・監視カメラ)、人的対策(教育・訓練・情報セキュリティポリシー)の3層で実施される。また情報セキュリティマネジメントシステム(ISMS)はPDCAサイクルで組織的にセキュリティを管理する枠組みであり、ISO/IEC 27001として国際規格化されている。
具体例で考えよう
製薬会社が研究開発データを保護するため、アクセス権限管理(機密性)、改ざん検知ログ(完全性)、システム二重化による24時間稼働(可用性)の3要素を網羅したセキュリティ対策を実施する。
試験対策ポイント
CIA3要素の英語と意味の対応は必須暗記。ISMSとISO27001の関係も頻出。技術的・物理的・人的対策の分類、脅威(マルウェア・フィッシング・標的型攻撃)の種類も出題される。
関連用語
「経営情報システム」の他の用語