ページの本文へ

Hitachi

株式会社 日立ソリューションズ・クリエイト

セキュリティ 押さえておきたいセキュリティの3要素とは?

押さえておきたいセキュリティの3要素とは?

「情報セキュリティ」という漠然とした言葉をより具体化してくれるのが、情報セキュリティの3要素です。どういった要素が満たされていれば情報セキュリティがしっかりしているといえるのかが、3要素(追加された要素も含めると合計7要素)について知っておけばイメージしやすくなるでしょう。

ここでは、情報セキュリティ対策を行う上でまず理解しておきたい情報セキュリティの3要素と、後に追加された4つの要素について説明します。

情報セキュリティの3要素(CIA)とは

情報セキュリティの3要素とは「機密性(Confidentiality)」「完全性(Integrity」」「可用性(Availability」)」を指し、これらの頭文字を並べた「CIA」という言葉も使われます。JIS Q 27001:2006において、情報セキュリティの3要素は次のように定義されています。

  • 機密性:認可されていない個人、エンティティまたはプロセスに対して、情報を使用不可又は非公開にする特性
  • 完全性:資産の正確さ及び完全さを保護する特性
  • 可用性:認可されたエンティティが要求したときに、アクセス及び使用が可能である特性

これだけだと少し抽象的でわかりにくい印象を受けるかもしれません。もう少ししっかり理解するために、それぞれどのような定義なのかを詳しくみていきましょう。

機密性(Confidentiality)

機密性は、特定の情報へアクセスを許可された一部の人だけが、個人情報や機密情報などの情報資産にアクセス可能な状態になっている特性のことです。機密性の高い情報は企業によって異なります。例えばメーカーであれば新商品の情報、技術開発会社であれば独自の技術情報などが当てはまります。また、社員や顧客などの個人情報は、どの企業にも当てはまる機密性の高い情報資産です。

これらの機密情報は、使用不可または非公開にすることを特性としていて、情報を開示しない、使用させないだけでなく、漏えいさせないことも要求されています。機密性が保たれていない場合、許可されていない人に情報を見られてしまったり、不正に使用されたりして情報漏えいにつながってしまいます。

機密性を保つ具体例は、情報資産へのアクセス権限を一部に限定することや、IDやパスワードによる管理などの対策が有効な手段です。

完全性(Integrity)

完全性は、情報資産が第三者やウイルスによって改ざんされたり、虚偽のデータが作成されたりせず、正しい情報のまま維持・保管されている状態のことです。悪意の有無によらず、完全性を少しでも欠いてしまうと、情報の信頼性だけでなく会社・組織としての信頼性も失うことになります。そのため、自然災害によるデータの破損・損失の防止にも目を向けなければなりません。また、情報資産を扱う社員への教育に力を入れる必要があります。

完全性を保つ具体的な対策方法には、次のようなものが有効です。

  • 情報資産へのアクセス履歴や更新履歴を記録しておくこと
  • 情報資産へアクセスする際に操作制限を加えること
  • 暗号化したデータを保管・利用すること

可用性(Availability)

可用性は、正当なアクセス権限を与えられた人が、必要な時にいつでも情報資産を安全に利用できる状態のことをいいます。前述した「機密性」と「完全性」が保たれていることが前提の特性です。例えば、停電や自然災害などでデータにアクセスできない、サービスの提供ができない場合は、可用性が保たれていない状態だといえます。また、テレワークなどで社外ネットワークから社内ネットワークへアクセスする際に、可用性が保たれていないと必要な情報へアクセスできないといった事態も起きてしまいます。

可用性を保つための具体例として、データのバックアップやデータの二重化、クラウド管理などが挙げられます。データが失われた時に、いかに早く復旧できるかが鍵になるため、すぐに利用できる状態にする方法も熟知しておくことが求められます。

さらに追加された情報セキュリティ要素

情報セキュリティの3要素に加えて、1996年に「真正性」「責任追跡性」「信頼性」が、2006年に「否認防止」の要素が追加され、現在では情報セキュリティの7要素とされています。追加された4つの要素についても、簡単に説明します。

真正性(Authenticity)

真正性は、組織が主張する通りであることを指します。簡単にいうと、情報資産にアクセスする人が許可された本人であるかどうかを認証できることです。これによってなりすましを防止できます。真正性を保つ対策としては、デジタル署名や二段階認証・生体認証などが挙げられます。

責任追跡性(Accountability)

責任追跡性は、組織や個人が行った動作を追跡できる特性のことです。インシデントが起きた際などに責任追跡性が求められます。アクセスログや操作ログを残すことで対策が可能です。

信頼性(Reliability)

信頼性は、意図した動作が確実に行われるかどうかを示す特性です。人為的な操作ミスを起こさなくても、システムの不具合やバグによってデータが意図せず改ざんされることもあるため、このような特性が求められます。システムがバグや不具合を起こさないような設計・構築を行うことで対策できます。

否認防止(Non-repudiation)

否認防止は、情報資産に関する行動や事象が、後から否認されないように証明する特性です。責任追跡性が保たれることで否認防止も保たれます。デジタル署名やアクセス・操作ログを残すことが重要になるでしょう。

昨今では情報資源や情報資産を多く取り扱うようになり、中小企業や個人でもしっかりとしたセキュリティ対策が求められます。情報セキュリティの3要素と追加された4つの要素を念頭に置き、セキュリティ対策を行いましょう。