機密性をひとことで言うと、「見せたくない人に情報を見せないこと」です。
情報が見れる・見れないを限定しているニュアンスがあれば、機密性のこと!
「情報セキュリティマネジメント」という分野で、見るのが機密性。言い換えると、守秘義務です。
機密性を保つには、「暗号化」や「アクセス制限」といった対策が考えられます。
機密性とは、見せたくない人に情報を見せないこと
機密性とは、見せたくない人に情報を見せないことです。
機密性を英語で書くと、”Confidentiality”ですね。
大学受験で、「守秘義務」とか、「秘密性」みたいに、覚えてる人もいるかも。
要は、「この情報は、よそに漏らしちゃいかんよ~」とか、「この人『だけ』しか見せちゃいかんよ~」って話になります。
見せたくない人に情報を見せない(アクセスさせない)こと
機密性は、見せたくない人に情報を見せない(アクセスさせない)こと。
「これは、機密情報だから慎重に扱うように」みたいに聞いたこともあるはず。
身近なことで覚えたってください。
- 同じ学年の生徒一人のテストの成績表を、生徒同士が見ることができないこと
- ある会社の社員一人の人事評価を、社員同士で見ることができないこと
- ある会社の売上・取引先の情報・特許技術などを、よその会社が見ることはできないこと
どれも、見ることができたら、「おいっ!」ってなるやつです(*´ω`)。
許可された人『だけ』が、必要な情報を見れるよう制限をかけること
機密性について、別の言い方をすると、「許可された人『だけ』が、必要な情報を見れるよう制限をかけること」です。
- 生徒一人のクラスメートの成績表は、先生・保護者・本人であれば、見ることができること
- ある会社の社員の人事評価は、評定者と上司は、見ることができること
- ある会社の売上・取引先の情報・特許技術は、部長や役員クラスは、見ることができること
許可されている人であれば、情報に当たり前にアクセスできる・見ることができるようにするべきというニュアンスも含んでいます。
機密性と可用性の違いに注意
あれ?可用性でも、「許可された人が、情報にアクセス~」みたいな説明見たけど。
となった人のために補足します。
【機密性】「誰が」その情報にアクセスできるのかが重要
【可用性】(アクセス権限がある前提で)許可された人が、情報にアクセスできる(システムが使える)こと。
多くの場合は、機密性は「見せたくない人に見せないこと」みたいなニュアンスで使われるはず。
ただ、「許可された人がその情報にアクセスできること」みたいに出ることもあるので・・・。
文脈で、「機密性と可用性のどちらを表しているか?」を判断するようにしてくださいまし(-_-;)。
機密性は、暗号化とアクセス権限のコントロールで対策できる
機密性は、暗号化とアクセス権限のコントロールで対策します。
情報を暗号化して、特定の人しか復号化できないようにする
「ディジタル署名」のところと関連しますが、情報を暗号化して、特定の人しか復号化できないようにすることで、機密性が担保されます。
Aさんが、ある情報を暗号化付きで、Bさん・Cさん・Dさんに送付。
「暗号化された情報は、Aさんの公開鍵で復号化できる」というのは、Bさん・Cさん・Dさんだけなので、機密性が担保されるというわけです。
アクセス権限のコントロール
アクセス権限のコントロールも、重要な対策。
「Aさんには、情報を見せたくないから、アクセス権限を与えない」みたいなイメージ。
文字通りなので、そんな難しくないと思いますが・・・。
情報をアクセスする(実際に情報を使う)部署と、情報のアクセス権限をコントロールする部署は、別部署であることが望ましい
というのは、覚えておいて損しないです(*´ω`)。
機密性の基本情報技術者試験の出題例
基本情報技術者試験での機密性の出題例もまとめておきます。
- 【基本情報】平成26年 春期問39
- 【基本情報】平成24年 秋期問57
午後の情報セキュリティの文中でも普通に出てくるレベルなのと、「機密情報」とか「守秘義務」は、IT業界に入れば、ほぼ使う単語です。
まとめ
機密性ときたら、「見せたくない人に情報を見せないこと」です。
もっと身近な言葉で言うと、「守秘義務」のこと。
ディジタル署名として暗号化したり、アクセス権限をコントロールすることで、見せたくない人に情報を見せないようにしてると思ってくださいまし(-_-;)。
コメント