セキュリティの専門家は、組織の資産(つまり、データ、アプリケーション、および重要なシステム。その評価に基づいて、セキュリティチームは、環境内のリスクを軽減するための一連のセキュリティ制御を実装します。次のセクションでは、InfoSecのコンテキストでこれらの原則の正確で詳細な説明を提供し、次にこれらの原則の実際のアプリケーションを見ていきます。
機密性
機密性データを非公開または秘密に保つための組織の取り組みを指します。実際には、不正な開示を防ぐためにデータへのアクセスを制御することが重要です。通常、これには、許可された人だけが特定の資産にアクセスできるようにし、許可されていない人がアクセスを取得できないようにすることが含まれます。例として、許可された給与計算の従業員のみが従業員の給与計算データベースにアクセスできる必要があります。さらに、許可されたユーザーのグループ内では、それらの許可されたユーザーがアクセスを許可される正確な情報に、追加のより厳しい制限がある場合があります。別の例:eコマースの顧客が組織に提供する個人情報(クレジットカード、連絡先、配送、その他の個人情報など)が、不正アクセスや漏洩を防ぐ方法で保護されることを期待するのは合理的です。
機密性は、データを盗んだり改ざんしたりするためにシステム、アプリケーション、データベースへの不正アクセスを取得するように設計された直接攻撃など、さまざまな方法で侵害される可能性があります。ネットワーク偵察やその他の種類のスキャン、電子盗聴(man-in-the-middle攻撃による)、攻撃者によるシステム特権のエスカレーションはほんの一例です。しかし、人為的ミス、不注意、または不適切なセキュリティ管理によって、意図せずに機密性が侵害される可能性もあります。例には、パスワードを適切に保護できない(ユーザーまたはITセキュリティによる)ものが含まれます。ユーザーアカウントの共有。物理的な盗聴(ショルダーサーフィンとも呼ばれます)。データの暗号化の失敗(処理中、転送中、および保存時)。貧弱な、弱い、または存在しない認証システム。物理的な機器やストレージデバイスの盗難。
機密性を保護するための対策には、データの分類とラベル付けが含まれます。強力なアクセス制御と認証メカニズム。処理中、転送中、および保管中のデータの暗号化。ステガノグラフィ;リモートワイプ機能。データにアクセスできるすべての個人に適切な教育とトレーニングを提供します。
整合性
日常の使用では、整合性とは、全体または完全なものの品質を指します。 InfoSecでは、整合性とは、データが改ざんされていないこと、したがって信頼できることを保証することです。それは正しく、本物で、信頼できます。たとえば、eコマースの顧客は、製品と価格の情報が正確であることを期待しており、その数量、価格、在庫状況、およびその他の情報は、注文後に変更されません。銀行の顧客は、銀行情報と口座残高が改ざんされていないことを信頼できる必要があります。整合性を確保するには、使用中、転送中(電子メールの送信時、ファイルのアップロードまたはダウンロード時など)、およびラップトップ、ポータブルストレージデバイス、データセンター、クラウドのいずれにデータを保存するかを保護する必要があります。 。
機密性の場合と同様に、完全性は攻撃ベクトル(侵入検出システムの改ざん、構成ファイルの変更、検出を回避するためのシステムログの変更など)を介して直接、または意図せずに人間を介して危険にさらされる可能性があります。エラー、ケアの欠如、コーディングエラー、または不適切なポリシー、手順、保護メカニズム。
データの整合性を保護する対策には、暗号化、ハッシュ、デジタル署名、デジタル証明書が含まれます。信頼できる証明書機関(CA)は、パスポートまたは運転免許証を使用して個人の身元を確認するのと同様に、Webサイトユーザーに対して本人確認を行う組織、侵入検知システム、監査、バージョン管理ol、および強力な認証メカニズムとアクセス制御。
整合性は否認防止の概念、つまり何かを否定できないことと密接に関連していることに注意してください。たとえば、電子メールでデジタル署名を使用することにより、送信者はメッセージの送信を拒否できず、受信者は受信したメッセージが送信されたメッセージと異なると主張することはできません。否認防止は、整合性の確保に役立ちます。
可用性
システム、アプリケーション、およびデータは、許可されたユーザーが必要とするときにアクセスできない場合、組織とその顧客にとってほとんど価値がありません。簡単に言うと、可用性とは、ネットワーク、システム、およびアプリケーションが稼働していることを意味します。許可されたユーザーが必要なときにリソースにタイムリーで信頼性の高いアクセスを行えるようにします。
ハードウェアまたはソフトウェアの障害、電源障害、自然災害、人的エラーなど、多くのことが可用性を危険にさらす可能性があります。おそらく、可用性を脅かす最もよく知られている攻撃は、システム、Webサイト、Webベースのアプリケーション、またはWebベースのサービスのパフォーマンスが意図的かつ悪意を持って低下したり、システムが完全に低下したりするサービス拒否攻撃です。到達不能。
可用性を確保するための対策には、冗長性(サーバー、ネットワーク、アプリケーション、およびサービス)、ハードウェアフォールトトレランス(サーバーとストレージ)、定期的なソフトウェアパッチとシステムのアップグレード、バックアップ、包括的なディザスタリカバリが含まれます。計画、およびサービス拒否保護ソリューション。
原則の適用
組織のセキュリティ目標、業界、ビジネスの性質、および適用される規制要件に応じて、これらの3つの原則の1つが他の原則よりも優先される可能性があります。たとえば、機密性は特定の政府機関(情報サービスなど)内で不可欠です。 $ 1.00と$ 1,000,000.00の差が壊滅的なものになる可能性がある金融セクターでは、整合性が優先されます。可用性は、eコマースセクター(ダウンタイムが企業に数百万ドルのコストをかける可能性がある)とヘルスケアセクター(重要なシステムが利用できない場合に人命が失われる可能性がある)の両方で重要です。
理解するための重要な概念CIAトライアドについては、1つ以上の原則を優先することは、他の原則のトレードオフを意味する可能性があるということです。たとえば、高い機密性と整合性を必要とするシステムは、他のシステム(eコマースなど)がより高く評価する可能性がある超高速のパフォーマンスを犠牲にする可能性があります。このトレードオフは必ずしも悪いことではありません。それは意識的な選択です。各組織は、シームレスで安全なユーザーエクスペリエンスを提供したいという彼らの願望とバランスを取りながら、独自の要件を考慮してこれらの原則を適用する方法を決定する必要があります。
他の基本的なセキュリティの概念については、セキュリティ管理とは?