権限のない人にはデータを見せない・使わせない度合い。
機密性とは、許可された人だけが情報にアクセスでき、権限のない人には見せない・使わせない度合いのことです。英語では Confidentiality(コンフィデンシャリティ)と呼びます。
機密性は、信頼性を評価する考え方RASIS(=信頼性を5つの観点で見る指標)のS(Security)にあたります。また、情報セキュリティで特に大切とされる3要素CIAの1つでもあります。
・機密性(Confidentiality):許可された人だけが見られる
・完全性(Integrity):データが書き換えられず正しく保たれる
・可用性(Availability):必要なときにすぐ使える
身近な例で考えると、銀行の貸金庫に似ています。鍵を持っている本人だけが中身を取り出せて、他人には見せない――この「見られる人を限る」考え方がそのまま機密性です。
機密性は、ひとつの方法だけでなく複数の手段を組み合わせて確保します。代表的なものは次のとおりです。
・暗号化:データを読めない形に変換し、鍵を持つ人だけが元に戻せるようにする
・認証:パスワードや多要素認証(=複数の確認方法を組み合わせて本人確認すること)で「誰か」を確かめる
・アクセス制御:見られるデータ・操作できる範囲を人ごとに制限する
・権限管理:それぞれの人にどこまで許すかを決めて管理する
たとえデータが盗まれても暗号化されていれば中身は読めません。さらに認証で入口を守れば、そもそも近づける人を限定できます。このように手段を重ねることで、機密性はより強固になります。
機密性を実際に支えているのがアクセス制御です。アクセス制御とは、「誰が」「どのデータに」「何をできるか」を決めて制限する仕組みのことです。
アクセス制御は、2つのステップで成り立っています。
・認証:その人が本人かどうかを確かめる(誰が)
・認可:本人だと分かった人に、どのデータへ何をしてよいかを与える(何をできるか)
この「認証+認可」がそろって初めて、許可された人だけが情報を扱える状態、つまり機密性が保たれます。
上の図解の中央のゲートがアクセス制御です。正しい鍵を持つ人(認証)だけがゲートを通り、許された操作(認可)だけができる――こうして権限のない人をデータに近づけないことが、機密性の確保につながります。
Q1. 機密性(Security)が表しているのは次のうちどれですか。
Q2. 機密性を確保する手段として適切でないものはどれですか。
Q3. 機密性とアクセス制御の関係として正しいものはどれですか。