情報セキュリティ対策に重要な3要素とは? 今後知っておくべき4つの新要素とともに紹介

もともと、官公庁や大企業が中心に行われていた情報セキュリティ対策。しかし、ここ数年は中小企業から一個人まで、いろいろなところで重要視され、その対策が取られるようになっています。

皆さんの中には、これから対策を実施するという方も多いのではないでしょうか? 今回は、情報セキュリティ対策を考えるうえで、最初に理解しておくべき、情報セキュリティ対策の3要素について紹介します。

情報セキュリティの3要素とは

情報セキュリティ対策を始めるうえで、まず押さえておく必要があるのが、「情報セキュリティの3要素」です。具体的には、「機密性」「完全性」「可用性」を指します。

昨今、情報セキュリティに関するインシデントは多種多様になっていますが、対策としてはこの3要素を網羅的に確保することが重要になります。

英単語ではそれぞれ順番に「confidentiality」「integrity」「availability」であり、頭文字をとって、セキュリティのCIAと言われることもあります。それでは、それぞれの要素について、詳しく見ていきましょう。

機密性:confidentiality  

機密性を確保するということは、情報資産に対して、アクセス権限を持つ人だけが情報を閲覧でき、アクセス権限を持たない人は情報を閲覧・使用できない状態にすることです。

・対策例 

ファイルに対するアクセス権限の設定、端末のパスワード認証設定、暗号の利用、データ保管エリアへの立ち入り制限、など

・主なインシデント 

機密性が不十分な場合は、情報漏えいにつながります。元従業員が情報資産にアクセスして外部に持ち出してしまうケースや、ハッカーなどのサイバー攻撃により、保管していた個人情報が流出してしまう、などです。

完全性:integrity

完全性を確保するということは、情報資産が改ざんされず、正しい情報のまま保管・維持する状態のことです。

・対策例

情報資産へのアクセス履歴や変更履歴を残す、情報資産にアクセスする際の操作を制限する、など

・主なインシデント 

完全性に関わるインシデントで最近多いのが、ウェブサイトの改ざんや、データの改ざんです。これは個人情報漏えいなどにはつながりにくいインシデントですが、企業の信用を失墜させる目的で行われるケースもあります。

情報漏えいに関わる機密性と比べると軽視されがちですが、AIや自動化が進む中で、データが改ざんされていたり、欠落していたりすると、大きな事故になりかねません。

可用性:availability

可用性を確保するということは、正当なアクセス権限を持つ人が、必要な時にいつでも、安全に利用できる状態のことです。

・対策例

システムの二重化、データのバックアップ、データのクラウド管理、電源対策、災害復旧計画、など

・主なインシデント

停電や災害、サイバー攻撃を受けるなどして、システムがダウンしてしまうと、サービス提供ができなくなる可能性があります。

・テレワークと可用性 

最近は、遠隔で働くワークスタイルも増えてきました。しかし、セキュリティの観点から、重要な情報については、社内のネットワークからしかアクセスできない環境になっている会社も少なくありません。これも可用性が確保できていない一つの事例です。クラウドでデータ管理をするなどの対策が必要になりますが、機密性と、どうバランスを取っていくかが難しいところです。

セキュリティの7要素とは 

ここまで、セキュリティの3要素を説明してきましたが、実は現在では、4つの要素が増え、「セキュリティの7要素」と呼ばれることもあります。

追加された要素は、「真正性(authenticity)」「責任追跡性(accountability)」「信頼性(reliability)」「否認防止(non-repudiation)」の4要素です。

今回は、追加された新しい4つの要素についても、簡単に紹介します。

・真正性:authenticity 

簡単に言えば、アクセスしようとしている人物が、本人であるかどうかを認証できることです。具体的な対策としては、「デジタル署名」などが当てはまります。

・責任追跡性:accountability

インシデントを起こしうる、もしくは起こした動作が、誰によって行われた行為なのかを追跡できることです。具体的な対策を一つ上げると、アクセスログや操作ログを残すシステムによって、操作や改ざんが誰の手によって行われたのかを管理します。

・信頼性:reliability

情報処理において、意図した動作が、確実に行われることです。人為的な操作ミスがなくても、システムのバグによってデータが改ざんされてしまうこともあります。システムのバグをなくすことも一つの対策です。

・否認防止:non-repudiation

情報資源に関する行為や事象が、後になってから否定されないように証明できることです。これも、デジタル署名を活用することで実現できます。

情報セキュリティ対策は外部に監査してもらおう 

「情報セキュリティ監査」とは、セキュリティに関する専門知識を持った第三者によって、現行の情報セキュリティ対策の内容や運用状況を客観的に評価し、セキュリティ対策の水準を保証したり、不十分な部分に対する助言をすることです。

2003年、経済産業省が「情報セキュリティ監査制度」をスタートさせ、その監査基準、管理基準が明確になりました。その監査制度の中では、機密性、完全性、可用性、真正性、責任追跡性、信頼性、否認防止の7要素についても明記されています。

どんなに高い水準の情報セキュリティ対策ができていたとしても、水準の高さを証明するには外部の人に確認してもらう必要があります。また、外部の立場から見える課題もあり、良いアドバイスがもらえるかもしれません。

情報セキュリティ対策をより高水準なものに改善するためにも、情報セキュリティ監査は重要になります。

最後に

いかがでしたか? 今回の記事で紹介したように、情報セキュリティの3要素は、現在、7要素にまで増えています。それだけ、情報セキュリティ対策も、高度化&細分化していると考えてもいいのではないでしょうか。まずはセキュリティの7要素を軸に対策を取り、それから更に外部の監査を活用してみることをおすすめします。