情報セキュリティの3要素とは?社員に周知すべき基本と事例

 2019.09.03  AJS株式会社

情報セキュリティの3要素とは?社員に周知すべき基本と事例

情報セキュリティを語るうえで、基本となる情報セキュリティの3要素。現在では、機密性・完全性・可用性の3つに加えて、真正性・責任追跡性・信頼性・否認防止が追加され、7要素となっています。概念的な言葉でアカデミックな印象があるかもしれませんが、セキュリティ対策を網羅的にチェックできるフレームでもあります。経営層から一般社員まで情報資産を扱うスタッフ各個人に、これらの視点からセキュリティチェックをしてもらうことは、セキュリティ意識向上やリスクの確認にも役立ちます。

情報セキュリティの3要素とは

情報セキュリティの3要素とは、ISMS(Information Manegement Security System)の基本と言われ、機密性(confidentiality)・完全性(integrity)・可用性(availability)を指し、セキュリティのCIAとも呼ばれます。 情報セキュリティの3要素 についてJIS Q 27001:2006では以下のように定義しています。

機密性

認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性

完全性

資産の正確さ及び完全さを保護する特性

可用性

認可されたエンティティが要求したときに、アクセス及び使用が可能である特性

「機密性」とは漏洩対策ができているどうか、「完全性」とは改ざん等がされずに正しい情報であるか、「可用性」とは使いたいときに使える状態であるかを指し、組織内の各情報資産についてこれらを満たした運用をしていきましょう、ということです。 情報セキュリティマネジメントではこの3要素をバランスよく確保した運用が重要になります。

例えば、機密性ばかりを重視して、誰も触れない場所に情報をしまいこんでしまうと、情報を使うことができなくなります。また、適切に権限管理をして使える状態であっても、改ざんされた偽物の情報では意味がありません。

情報セキュリティの3要素とは?社員に周知すべき基本と事例

セキュリティ3要素をより具体的に解説

情報セキュリティの3要素の意味するところを、もう少し具体的に見ていきましょう。

機密性

アクセスを認められた人だけが決められた範囲内で情報資産にアクセスできることです。管理者は組織内のユーザーごとにアクセス権限を区別して、権限を持つ者だけが情報資産を使えるように管理します。また、「情報を使用不可又は非公開にする特性」としており、使用させないということだけではなく、漏洩させないことも重要です。

例えば、フォルダのアクセス権限をプロジェクト関係者に限定する、ファイルにパスワードをかけて関係者しか開くことができない、あるいは使えないようにするといったことは機密性の保持に必要不可欠なことです。

完全性

情報資産の内容が正しい状態であること、情報処理の方法が正しい状態であることを指します。例えば、WEBサイトの改ざん・データの改ざんといった被害にあった情報資産は完全性を欠く代表的な例です。

IOTの普及により、自動車や家電、医療機器に至るまでネットワーク化が進んでいます。このようなデータが完全性を欠くとどのようなことが起こるでしょうか。例えば、自動運転をネットワークで制御していたが、データが誤っていたため、誤った運転の指示が出てしまう、医療機器と連携したデータに誤りがあり、症状とは関係ない治療の指示が出てしまうようなことも起こりえます。便利なIOTも情報セキュリティの完全性を欠くと全く使い物になりません。完全性を担保することは非常に重要なことです。

可用性

使用可能性のことで必要な人が必要な時に使える状態であること指します。 例えば、システムの冗長化やデータのバックアップなどが適正になされておらず、停電や災害等の有事の際にデータにアクセスできなくなる、サービスの提供ができなくなるのは可用性を保てていないということになります。

働き方改革のもと、テレワークが徐々に普及し、社外から社内環境にアクセスするケースも増えてきました。社外ネットワークから社内ネットワークに接続する際、可用性が担保されていない場合、社外から必要な情報にアクセスができない事態も起こります。

ランサムウェアに感染するとデータファイルなどが勝手に暗号化処理され、読みとれない状態になり、「ファイルの復元」を条件に金銭を要求するポップアップウィンドウが表示されます。こうなってしまうとその情報資産は可用性が保ててない状態といえます。

情報セキュリティというと機密性のイメージが強いかもしれませんが、組織内で活用している情報資産は、漏洩のリスク(機密性の担保)、改ざんのリスク(完全性の担保)、使えなくなるリスク(可用性の担保)等を検証し、バランスよく運用していく必要があります。 自社の情報資産や組織内の各個人が普段接している情報資産について、各要素がどのように保たれているのか、これらの要素を満たさなくなった場合に、自分の業務、自分の組織、あるいは顧客にどのような影響があるのかを考えることが重要です。

セキュリティの3大要素は、セキュリティ担当者にとっては抜け漏れのチェック、情報資産を扱う社員にとってはセキュリティ意識を高めるために役に立つでしょう。組織の情報セキュリティは新入社員からマネジメントまで、情報資産を扱う全スタッフが、何を・どのように守るのかを理解することが大切です。


『月刊人事マネジメント』事例掲載
「人事評価制度見直し」決断する前にやること

RELATED POST関連記事


RECENT POST「セキュリティ関連ブログ」の最新記事


情報セキュリティの3要素とは?社員に周知すべき基本と事例