情報セキュリティ用語解説(第2回:機密性について)

こんにちは、ビットコミュニケーションズの内海です。

情報セキュリティ用語解説の第2回目は、情報セキュリティの3要素の1つ「機密性」についてです。

機密性とは、情報に対するアクセス権限を徹底して保護・管理することです。

情報を外部に見せない、漏らさないことを意識することで、高い機密性を保持できます。逆に、企業内に保持する情報に誰でもアクセスできる状況にあれば、それは機密性の低い状態です。

情報の機密性が低ければ、情報漏えいや情報の破損などの原因になりかねません。機密性を高めるためには、アクセスコントロールのルール設定やパスワード認証、情報自体の暗号化などといった手法が利用されます。

ルールの設定やIDとパスワードを使えば管理は可能ですが、以下の3点に注意してください。

・形式的なルールやID/パスワードの設定や管理になっていないか
・ルールを厳格にしすぎ、利用者の利便を損なっていないか
・社内内部・外部の悪意ある第三者への対策ができているか

パスワードが安易な数字だったり定期的な変更がなかったり、付箋に書いてパソコンに貼ってあったりするのでは有名無実です。逆に、過度に厳格なルールにしてしまうと、社員の作業効率が著しく下がり、結果、社内の不満が高まってルールが形骸化する可能性もあります。またルールやシステムが完璧に構築できていても、IDやパスワードを知っている社内の犯罪者や、サイバー攻撃を仕掛けてくる外部の犯罪者からは機密性を保持できなくなることもあります。