OECD(Organization for Economic Cooperation and Development:経済協力開発機構)
が策定したセキュリティガイドラインにC.I.A.があります。
これはConfidentiality、Integrity、Availabilityの略で、
セキュアな情報システムの構築をしていくための指針となる要素です。
| Confidentiality | 機密性 | 情報が組織や個人によって定められたルールどおりに保護できること → 許可された人だけがアクセスできること |
| Integrity | 完全性(保全性) | 情報の正確性や完全性が維持されること |
| Availability | 可用性 | システムを必要に応じて利用・制御ができること(壊れ難いこと) |
ISO
/IEC
TR 13335 で、GMITS( Guideline for the Management of IT Security )
による記述では、上記 C.I.A.の他に、責任追跡性(accountability)、
真正性(authenticity)、信頼性(reliability)の要素を加えています。
(TRは、ISOまたはIECが発行する国際規格または技術仕様書以外の文書です。)
また JIS Q27002:2006でも、以下の4項目の特性を維持すること
としています。
| accountability | 責任追跡性 | 情報資産が変更された履歴(ログ)などがたどれる状態のこと。 つまり、利用者の責任が分かる特性 |
| authenticity | 真正性 | 情報システムのユーザが、確実に本人であることを確認し、なりすましを防止すること。 利用するものが、主張通りの本物であると分かる特性 |
| Non- Repudiation | 否認防止性 | 利用したことを後で否認できないように証明できる特性 |
| reliability | 信頼性 | 報処理システムの動作と出力結果が意図された正しい状態になっている特性 |
| 機密性 | パスワード認証,アクセス制御,暗号化,入室管理 |
| 保全性 | デジタル署名、メッセージダイジェストによる改ざん防止 |
| 可用性 | システムの二重化、UPSの使用、RAIDの使用、負荷分散、クラスタリング構成の配慮 |
| 責任追跡性 | アクセスログの記録,デジタル署名による否認防止 |
| 真正性 | パスワード認証,デジタル署名 |
| 信頼性 | データ矛盾のチェック、ファイルの監視、システムの二重化 |