脆弱性を減らすことは、機密性・完全性・可用性を高めることだといえます。これを情報セキュリティの3要件といいます。この英語の頭文字を並べるとCIAになります。覚えやすいですね。☆
- 機密性(守秘性)(Confidentiality)
- 許可された者が許可された方法でのみ情報にアクセスできることを確実にすること。
- 完全性(Integrity)
- 情報及び処理方法の正確さ及び完全である状態を安全防護すること。
このインテグリティは、完全性、保全性、一貫性など多様な訳語がありますが、どうも適切なものがなく、専門家は訳さずにインテグリティといっています。 - 可用性(Availability)
- 許可された利用者が、必要なときに情報にアクセスできることを確実にすること。
情報システムが持つリスク(脅威)のことを固有リクスといいます。地震の発生を減らすことはできませんし、ウイルスの存在を減らすことも困難です。すなわち、固有リスクを減少させることはできないのです。
しかし、それをインシデントになるのを減少させることはできます。それには、情報システムの持つ脆弱性を減らすこと、すなわち、機密性・完全性・可用性を高めることであり、それが情報セキュリティ対策なのです。
