情報セキュリティの三大要素「可用性」「機密性」「完全性」について

- 可用性とは、必要な時に使える状態を維持すること
- 機密性とは、権限がない人が情報にアクセスできないようにすること
- 完全性とは、データが欠落していないかつ最新の状態であること
情報管理の三原則「機密性 」「完全性 」「可用性」。これらは情報セキュリティマネジメントシステム における基本のキでありますが、ITに深い造詣がなければ難しく聞こえてしまいます。
今回は、これらの情報セキュリティ三大要素についてわかりやすく解説していきたいと思います。
機密性、完全性、可用性とは
機密性、完全性、可用性はそれぞれ、情報セキュリティマネジメントシステムにおける「データのあり方」に関する原則です。英語では、それぞれ、以下のように表現されています。
- 機密性・・・Confidentiality
- 完全性・・・Integrity
- 可用性・・・Availability
簡単に言うと、
- 機密性:「外部に流出しない状態」
- 完全性:「正確かつ最新の状態」
- 可用性:「利用可能な状態」
のことなのですが、初めて耳にする人にとってはこれだけではピンと来ないかもしれませんね。では、具体的にそれぞれどのような意味合いなのでしょうか?以下で詳しく解説していきます。
機密性、完全性、可用性のバランスが重要なISMSですが、知見がないとどこかに偏ってしまい本業に差し支えるケースもあります。
ISOプロでは、ISMSとは?の基本から、機密性・完全性・可用性について、要求事項や取得方法、取得コストなどを分かりやすくまとめた資料をご用意しています。無料でお渡ししておりますので、少しでもご興味ある方はぜひ下記より資料請求ください。
機密性とは
機密性とは、おそらく皆さんが「情報セキュリティ」と言われてイメージするものではないでしょうか。簡単に言うと機密性とは、「情報を見られたくない人に見せないように、しっかり管理しましょうね」ということです。
代表的なもので言うと、不正アクセス対策が挙げられます。情報の流出を最小限にするために、顧客情報にアクセスする際はIDとパスワードの入力を求めたり、そのIDやパスワードが外部あるいは内部で流出しないようにしっかり管理したりすることが情報の機密性に繋がります。
可用性が「使える状態」であるのに対して、機密性が「使えない状態」という要素を持っているため、混乱してしまう人がいるかもしれませんが、可用性は「見ても良い人に見せられる状態」、機密性は「見せたくない人が見られない状態」のことを言います。
完全性とは
完全性とは、「情報がちゃんとした状態であること」を指します。「ちゃんとした状態」とは、簡単に言えばデータが正確であり、最新のものである状態のことです。
例えば顧客データの住所が違っていたり、古い電話番号だったりしたら、そのデータは使い物にならないですよね? このため、情報は正確かつ最新の状態に保たれている必要があるのです。
可用性とは
可用性とは、「使用可能な状態」のことで、英語ではAvailability(アバイラビリティ)と表現します。単語のもととなっているAvailという単語は「役に立つ」とか「利用可能」という意味合いを持っています。
少し長ったらしく表現すると、可用性とは「情報を使いたいと考えたときに使える状態にしておくこと」のことを言います。
例えば、お客様の個人情報を例にしてみましょう。顧客情報というのは、情報セキュリティにおいて絶対に流出してはいけないものです。このため、強固なセキュリティのもと管理する必要があります。だからとって、使用しにくい状態にしてしまってはいけません。仮に「顧客情報にアクセスするためには、リアルタイムで社長の承認が必要である」としてしまった場合、確かにセキュリティは保たれるかもしれませんが、業務に支障をきたしてしまいます。しかし、誰もがアクセスできる状態であっては、セキュリティを保つことができなくなってしまう可能性もあるのです。
——つまり、情報の可用性とは、「その情報を見ても良い人が、情報を見られる」という状態のことを指します。
実際の現場に置き換えてみると、各現場の管理者のみが情報にアクセスすることができて、それ以外の従業員はその管理者を経由して情報にアクセスできるようにしておく…みたいな状態のことです。

ISMSの三大要素が求める「情報」のあり方
つまり、情報セキュリティマネジメントシステムが求める情報のあり方は、以下のようなものになります。
- 見ても良い人が見られる状態
- 見てはいけない人が見られない状態
- 正確でちゃんとした状態
上記が情報セキュリティシステムの機密性、完全性、可用性です。情報セキュリティマネジメントシステムでは、これらの状態を保つために、様々な対策を行っていきます。それは、IDパスワードの設定というハードな側面だけでなく、社員教育といったソフトな側面も含まれます。
機密性だけに偏ったルール構築をしてしまうと、業務効率が低下してしまったり、可用性だけに偏ったルール構築をしてしまうと業務効率は良くなるかもしれませんが、情報漏えいのリスクが非常に高い状態となってしまいます。
これから情報セキュリティマネジメントシステムの導入を検討される場合は、この三大要件をバランス良く対応することで、自社に適したマネジメントシステムを構築していくと良いでしょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

こんな方に読んでほしい