簡単に言うと、「情報資産を守ること」です。
もう少し正式に言うと、JIS Q 27002:2006(情報技術—セキュリティ技術—情報セキュリティマネジメントの実践のための規範)では下記のように定義しています。
「情報の機密性、完全性および可用性を維持すること」
- 機密性 (confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態
- 完全性 (integrity): 情報が破壊、改ざん又は消去されていない状態
- 可用性 (availability): 情報へのアクセスを認められた者が、必要時に情報にアクセスできる状態
情報資産が守れていれば(情報の機密性、完全性、可用性が維持できていれば)、良好な状態ですが、何かの拍子に守れなくなると、「情報セキュリティ事件・事故発生」となってしまいます。
逆にいえば、情報セキュリティ事件・事故を発生させないことが、情報セキュリティである、ともいえます。
【補足】—————————————————————-
さらに、JIS Q 27002では、続けて下記のように定義しています。
「さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい」
下記は、JIS Q 13335-1:2006「情報技術―セキュリティ技術―情報通信技術セキュリティマネジメント―第1部:情報通信技術セキュリティマネジメントの概念及びモデル」でのセキュリティの要素の定義です。
| 要素 | 内容 |
| 機密性 | 認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性 |
| 完全性 | 資産の正確さ及び完全さを保護する特性 |
| 可用性 | 認可されたエンティティが要求したときに、アクセス及び使用が可能である特性 |
| 真正性 | ある主体又は資源が、主張どおりであることを確実にする特性 真正性は、利用者、プロセス、システム、情報などのエンティティに対して適用する。 |
| 責任追及性 | あるエンティティの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性 |
| 否認防止 | ある活動又は事象が起きたことを、後になって否認されないように証明する能力 |
| 信頼性 | 意図した動作及び結果に一致する特性 |
