「情報セキュリティの三要素」可用性・機密性・完全性(CIA)をわかりやすく解説
- 可用性とは、必要な時に使える状態を維持すること
- 機密性とは、権限がない人が情報にアクセスできないようにすること
- 完全性とは、データが欠落していないかつ最新の状態であること
情報管理の三原則「機密性」「完全性」「可用性」。これらは情報セキュリティマネジメントシステムにおける基本のキでありますが、ITに深い造詣がなければ難しく聞こえてしまいます。
今回は、これらの情報セキュリティ三大要素の概要や情報セキュリティ対策をわかりやすく紹介。最近、主流となりつつある情報セキュリティの7要素についても解説します。
目次
情報セキュリティの三要素とは
機密性、完全性、可用性はそれぞれ、情報セキュリティマネジメントシステムにおける「データの在り方」に関する原則です。英語では、それぞれ、以下のように表現されています。
- 機密性・・・Confidentiality
- 完全性・・・Integrity
- 可用性・・・Availability
頭文字をとってCIAと表現されることもあります。それぞれを簡単に言うと、
- 機密性:「外部に流出しない状態」
- 完全性:「正確かつ最新の状態」
- 可用性:「利用可能な状態」
のことなのですが、初めて耳にする人にとってはこれだけではピンと来ないかもしれません。では、具体的にそれぞれどのような意味合いなのでしょうか?以下で詳しく解説していきます。
【情報セキュリティの三要素】機密性とは
機密性とは、おそらく皆さんが「情報セキュリティ」と言われてイメージするものではないでしょうか。簡単に言うと機密性とは、「情報を見られたくない人に見せないように、しっかり管理しましょう」ということです。
代表的なもので言うと、不正アクセス対策が挙げられます。情報の流出を最小限にするために、顧客情報にアクセスする際はIDとパスワードの入力を求めたり、そのIDやパスワードが外部あるいは内部で流出しないようにしっかり管理したりすることが情報の機密性に繋がります。
可用性が「使える状態」であるのに対して、機密性が「使えない状態」という要素を持っているため、混乱してしまう人がいるかもしれませんが、可用性は「見ても良い人に見せられる状態」、機密性は「見せたくない人が見られない状態」のことを言います。
機密性が重要になる情報資産の例
機密性を保つべき情報資産の例を紹介します。
- 顧客や従業員の個人情報
- 取引先との契約に関する機密情報
- 自社の優位性に関する企業秘密
- 予算や資金調達計画などの自社の財務情報
- 情報セキュリティに関する情報
機密性を保持できないと起こる問題の例
機密性を保てないと、以下のような問題に発展する可能性があります。
- 外部からのサイバー攻撃や不正アクセス
- 情報漏えいや紛失、破損
- データの盗難
機密性を保持するための対策
機密性を保つための対策の例を紹介します。
- データへのアクセス権限を適切に行う
- データの転送・保存時に暗号化技術を適用する
- 各情報資産の機密性レベルを評価し、分類する
- セキュリティポリシーを策定する
- セキュリティに優れた施設や部屋で情報資産を保管・管理する
【情報セキュリティの三要素】完全性とは
完全性とは、「情報がちゃんとした状態であること」を指します。「ちゃんとした状態」とは、簡単に言えばデータが正確であり、最新のものである状態のことです。
例えば顧客データの住所が違っていたり、古い電話番号だったりしたら、そのデータは使い物にならないですよね?このため、情報は正確かつ最新の状態に保たれている必要があるのです。
完全性が重要になる情報資産の例
完全性を保つべき情報資産の例を紹介します。
- 個人情報や契約内容などの顧客情報
- 個人情報や勤怠・賃金などの社員情報
- 金融取引に関する金融情報
- ビジネスに必要な製品・サービスに関する情報
- 企業経営に必要な会計・財務情報
- 法律や規制、コンプライアンスに関する情報
完全性を保持できないと起こる問題の例
完全性を保てないと、以下のような問題に発展する可能性があります。
- 法律違反
- 誤った取引による金銭的な損害
- 誤った取引による信頼性や評判の低下
完全性を保持するための対策
完全性を保つための対策の例を紹介します。
- データを編集した際に変更履歴の追跡・監査を行う
- データの一貫性を保つシステムを導入する
- 定期的にデータのバックアップを行う
【情報セキュリティの三要素】可用性とは
可用性とは、「使用可能な状態」のことで、英語ではAvailability(アバイラビリティ)と表現します。単語のもととなっているAvailという単語は「役に立つ」とか「利用可能」という意味合いをもっています。
少し長ったらしく表現すると、可用性とは「情報を使いたいと考えたときに、いつでも使える状態にしておくこと」のことです。
例えば、お客様の個人情報を例にしてみましょう。顧客情報というのは、情報セキュリティにおいて決して流出してはいけないものです。このため、強固なセキュリティのもと管理する必要があります。だからといって、使用しにくい状態にしてしまってはいけません。
仮に「顧客情報にアクセスするためには、リアルタイムで社長の承認が必要である」とした場合、確かにセキュリティは保たれるかもしれませんが、業務に支障をきたしてしまいます。とはいえ、誰もがアクセスできる状態であっては、セキュリティを保つことができなくなってしまう可能性もあるのです。
つまり、情報の可用性とは、「その情報を見ても良い人が、情報を見られる」という状態のことを指します。
実際の現場に置き換えてみると、各現場の管理者のみが情報にアクセスできて、それ以外の従業員はその管理者を経由して情報にアクセスできるようにしておく…みたいな状態のことです。
可用性が重要になる情報資産の例
可用性を保つべき情報資産の例を紹介します。
- 申請書や報告書などのワークフローに関する社内文書
- ビジネス運営にかかわる顧客情報や製品・サービス情報データベース
- 電子メールやビジネスチャット
可用性を保持できないと起こる問題の例
可用性を保てないと、以下のような問題に発展する可能性があります。
- 業務効率の低下
- 生産性の低下
- ビジネス機会の損失
可用性を保持するための対策
可用性を保つための対策の例を紹介します。
- システム機器の冗長化(障害発生時に備え、平常時から動作させること)
- データの定期的なバックアップ
- 定期的なメンテナンスの実施
- クラウドシステムの導入
情報セキュリティの7要素とは
最近では、情報セキュリティの三要素に加えて、以下の4つの要素についても重視されています。
- 真正性:アクセス権限があるかどうかを確実にすること
- 信頼性:システムやアプリケーションが操作者の思うとおりに動作すること
- 責任追跡性:情報のアクセスや操作を後から追跡できること
- 否認防止:インシデント発生時に、その原因となったユーザーが否定できないように証拠を残すこと
これら4つの要素は、情報セキュリティリスクを予防するためではなく、発生した際の対策としての側面が強くなっています。なぜ、インシデント発生後の対応が重視されているかというと、昨今のIT技術の進化によってクラウドサービスが充実し、誰でも簡単に情報を操作でき、被害が広範囲に及ぶ状況になっているためです。
情報セキュリティリスクの発生を予防と、発生時の対処のどちらも整備することが大切です。4要素を高める体制づくりについても同様に検討しましょう。
情報セキュリティマネジメントシステム(ISMS)が求める情報の在り方
ここまで解説した通り、情報セキュリティマネジメントシステムが求める情報の在り方は、以下の3つに要約されます。
- 可用性:見ても良い人が見られる状態
- 機密性:見てはいけない人が見られない状態
- 完全性:正確でちゃんとした状態
情報セキュリティマネジメントシステムでは、情報セキュリティの三要素を保つためにさまざまな対策を行います。それは、IDパスワードの設定というハードな側面だけでなく、社員教育といったソフトな側面も含まれます。
ただし、対策を取る際には一つの要素のみを高めるのではなく、3つの観点から検討することが大切です。
機密性だけに偏ったルール構築をしてしまうと、業務効率が低下しやすくなります。また、可用性だけに偏ったルール構築をしてしまうと業務効率は良くなる一方、情報漏えいのリスクが非常に高い状態となってしまいます。
そのため、三大要件をバランス良く高めることが、非常に重要なのです。情報の在り方を意識し、自社に適したマネジメントシステムを構築していくと良いでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい