情報セキュリティの3要素:機密性・完全性・可用性
情報システムを安心して利用するためには、 セキュリティ対策が必須 です。
情報の機密性・完全性・可用性が 情報セキュリティの3要素 と言われ重視されています。
セキュリティ対策はこの3要素をとにかく強く守ればいいというものではありません。
あまりにもセキュリティ対策を重視しすぎると、使い勝手が悪くなったり、運用コストや、セキュリティ製品の導入コストが大きくなってしまう場合があります。
セキュリティと運用性・コストとのトレードオフも考慮 に入れて最適なセキュリティ対策を検討する必要があります。
情報セキュリティの7要素:真正性・責任追及性・信頼性・否認防止
2006 年制定のJIS Q 13335-1 では情報セキュリティの3要素に加えて 真正性・責任追及性・信頼性・否認防止 の4項目を加えて7要素となりました。
※ その後 JIS Q 13335-1 は JIS Q 27000 シリーズに置き換えられました
これらの7要素を実現するためには IDやパスワードを使った認証技術 は欠かすことができません。
利用者が情報システムを利用するときに設定するパスワードは、英数字・記号を組み合わせ、できれば大文字や記号も混ぜた、 簡単に推測ができない複雑なパスワード を設定する必要があります。
パスワードの安全性
パスワードの管理方法
複雑で安全なパスワードを設定しても、パスワードが他人に漏洩してしまっては意味が無いので、 パスワードの保管には十分に注意が必要 です。
当然ながら、他人に教えない、電子メール等でやりとりしない、ディスプレイやキーボードや机の上など人目に触れるところにパスワードを貼らないと言ったことに気を付ける必要があります。
様々なシステムを使うにあたってパスワードを設定する機会が増えてきても、パスワードの管理が面倒になってきます。
だからといって複数のサービスでパスワードを同じものにすると、あるサービスでパスワードが漏洩すると、他のサービスもハッキングされてしまう可能性があるため、 パスワードの使い回しはおすすめできません 。
アカウントの乗っ取りやパスワードの流出が無い場合は、定期的にパスワードを変更する必要はないという考え方もあります。
パスワードを定期的に変更すると、忘れるのが怖くてパスワードの作り方がパターン化してしまい、かえって推測しやすいものを用いてしまいがちです。
より強いセキュリティ:生体認証・二要素認証
銀行の取引など強いセキュリティが求められる場面では、 生体認証 や 二要素認証 の導入も進んでいます。
生体認証とは手のひらの静脈や指紋、虹彩、顔認証など、 人間の身体的特徴などを用いて認証する技術 のことです。
二要素認証とは例えば銀行カードでお金を引き出す場合のように、キャッシュカードの所持情報と暗証番号のように 2つの情報を組み合わせ てセキュリティを高めています。
