【情報セキュリティ】「完全性」を確保するためのやるべき5つのこと

監修残田康平
著者:ISOプロ担当者
投稿日:
更新日:2020年05月21日

情報セキュリティ3要素の一つである『完全性』とは、企業や組織が所有する情報が正確であり、最新の状態であることを示す言葉です。
例えば、企業がお客様の個人情報を管理していた場合、その個人情報は正確で最新の状態を保つ必要があります。そのため、入力者による誤入力や従業員によるデータ改ざん、古いファイルなどと混合しないように情報を保護しなければいけません。

「完全性」を確保するために企業や組織はどのように所有する情報を取り扱わないといけないのでしょうか。ここでは、「完全性」を確保するために5つのやるべきことをご紹介します。

完全性

機密性の確保

機密性とは情報セキュリティ3要素の一つで、その情報にアクセスできるアクセス権限(閲覧・更新・削除)を一部の人物に付与することです。企業なら社員全員にアクセス権限を与えてしまうと人的ミスによる情報の誤入力や悪意のある社員による情報流失などの恐れがあります。アクセス権限を担当者のみにすることで情報を守ることができます。これを機密性と言います。

機密性について詳しくはこちらを御覧ください。

適切なログ管理

コンピューター用語に登場する『ログ』とは情報に対して利用状況やデータ通信を記録するものです。情報セキュリティにおいてもログを管理することは重要であり、アクセス履歴やシステムログ、操作、通信ログを記録することで、トラブルが生じた際に原因追求がスムーズに行なえます。

ログはアプリケーションや通信機器、サーバーなど継続して出力するのでログを出力するだけでも膨大な量になります。そのため、原因追求の際にログを取得する際は優先順順位や出力条件を設定し、必要な情報のみ収集するようにしましょう。

また、新規にログ管理システムを導入する場合は、ログ管理ツール(ソフトウェア)が販売会社等から提供している場合がありますので、ITインフラ環境の構築の際はベンダーに相談することをおすすめします。

ログ管理の機能例

ログ管理の注意点

  • 業務委託会社などからログを取得する場合、ログを管理している生成元のITインフラ環境が暗号化通信非対応やセキュリティ対策が不十分であると、出力するログが改ざんされている可能性があります。外部からログを取得する際はログの生成元がセキュリティ対策への取り組みなど確認しておく必要があります。
  • 各種アプリケーションや通信機器などから出力されるログ情報には表記の統一性がないので統計や分析に時間がかかる場合があります。
  • 機密性を高めても人的ミスは発生します。ログの改ざんや消失を防止するための仕組みが必要です。

人的ミスを防ぎ、「正確」な情報を保有

どの業界にも人的ミスは存在し、情報セキュリティにおいても例外ではありません。ここでは人的ミスをどのように防ぎ、いかに「正確」な情報を保つのかを一例を交えてご紹介致します。

データ誤入力の対策例紹介

  • 電子データ形式でデータを管理する場合は、まず入力方法を統一し、入力ルールを決める必要があります。そこから業務マニュアルなどを作成し、マニュアルに基づいた方法を関係者と共有、教育を実施します。
  • 情報システムやアプリケーションが提供するユーザーインターフェイス機能やチェック機能などを有効活用し、データの誤入力および操作ミスに対して警告メッセージを表示させるなどエンドユーザーに対して行います。
  • データ入力では直接文字列を入力させず、入力値を選択するといったユーザーインターフェイスの工夫で誤入力を軽減します。
  • 重要なデータの場合、情報システムやアプリケーションでデータ入力を自動化し、第三者によるダブルチェックを実施します。

データの一元管理

同じデータが複数のアプリケーションで管理している場合、データの整合性を確保する必要があります。業務データの更新プロセスを確認、リアルタイムにデータが最新状態に更新され、各アプリケーション(情報システム)間で円滑に閲覧・更新できるようにデータマネジメントを行います。

情報(データ)の改ざん・破壊防止対策

  • アクセス権限の管理を強化
    • 情報にアクセスできる人を予め決めておき、そのアクセス権限の管理を強化していきます。上記の「機密性の確保」に繋がる部分です。
  • 電子署名の利用
    • 電子署名とは、紙文書における書面への署名捺印に該当するものです。電子文書ではサインや捺印は簡単に偽造できてしまうので、「電子署名(デシタル署名)」という仕組みを導入することで信頼できる送信元なのかデータが改ざんされていないのかなど確認することができます。日本では、「電子署名及び認証業務に関する法律(電子署名法)」により「電子署名が署名や押印と同等の法的効力を持つ」ことを定めています。
  • 企業や組織の規模に関係なく、下記の情報セキュリティ対策は行っておきましょう。
  • パソコンの不正操作/なりすましを防止するため、利用者の管理を適切に行います。
  • 離席時には、必ずバソコン画面をロックします。
  • セキュリティ対策ソフトの導入/ウイルス定義ファイルは常に最新版を適用
  • 社内/組織内に個人所有のパソコンやタブレット等、外部記憶媒体は持ち込まない(業務の都合でやむを得ず社内に持ち込む場合は、事前に持込申請依頼書を提出。持込デバイスおよび外部記憶媒体を適切に管理します)
  • パソコン利用者が自由にソフトウェア・ブラウザ・プラグインなどインストールできないよう、権限を制限します。
  • 可用性の確保/OSやアプリケーションは最新バージョンを適用(詳細は、当サイトISO27001シリーズの「可用性について」でご確認頂けます)
  • 不審なメールの添付ファイルは開かない/添付ファイルの暗号化・パスワード設定
  • 怪しいサイトはアクセスしない/閲覧サイトの広告は安易にクリックしない
  • データの暗号化
    • データの暗号化とは、データを符号化した形式に変換し、復号化しないと読み取ることができない仕組みのことです。データを取り扱うPCのHDDやSSDなどデータ保存領域を暗号化することで、データの改ざんや破壊を防止します。
  • ユーザーIDとパスワードの運用および適切な管理。
    • 現代のネット社会においてユーザーIDとパスワードの管理は情報セキュリティの基本であり、悪意のある第三者に渡ってしまうと個人情報の流失や情報改ざんなどに繋がってしまいます。そのため、第三者に知られないように適切に管理することが重要です。

ユーザーIDの管理について

ユーザーIDとは、コンピューター上で個人を判別するための文字列のことです。もし、不正利用やシステムトラブルが発生した際、原因追求のため、アクセス履歴などログ改正でユーザーIDが必要になります。ユーザーIDにより「誰が」「いつ」「どのような操作をしていたのか」を調べることができるので、極力共有アカウントの利用など避けておきたいところです。

パスワード管理について

ユーザーIDとパスワードが悪意のある第三者に知られてしまうとアカウントの乗っ取りが行われ情報漏えいやデータ改ざんなどに繋がります。そのため、複雑で強固なパスワードを作成し、情報セキュリティを高める必要があります。

  • パスワードは可能な限り英文字、数字、特殊記号などを組み合わせ複雑なものを作る
  • 電話番号や誕生日など第三者が予測しやすいパスワード作成は避ける
  • 他のサービスなどで使っている同じ配列のパスワードの使い回しを避ける

主に上記のようなパスワード作成方法が望ましいです。よりパスワード管理について注意すべきことを知りたい方は下記の「機密性について」にて触れているので御覧ください。

データバックアップにより

企業や組織が所有する情報機器には情報システムのトラブルや人的ミス、ウイルス感染にサイバー攻撃などのリスクを抱えています。このトラブルに遭遇することでデータが消失してしまう可能性もあるので、もし、このような事態が発生してもデータが復旧できるようにバックアップを定期に実施することが望ましいです。
バックアップを実施していれば、もし何かしらのトラブルでデータが消失してしまってもバックアップからデータを復旧することができるので深刻な事態を回避することができます。また、ログ解析などから原因の追求および対策を講じることができます。

バックアップに関しての注意点

  • バックアップが正常に行えているのか、バックアップ処理後に確認作業が必要です。
  • バックアップ/リストア(データ復旧)手順書を作成しておく必要があります。

まとめ

企業や組織が所有する情報資産は常に最新であり正しいものでなくてはいけません。この完全性が崩れる要因としてヒューマンエラーがあります。いかにヒューマンエラーをなくし、トラブルが生じても瞬時に対応できることが完全性を遂行するために必要なものです。そのため、完全性を保つために企業や組織は情報の取り扱い方に関するルール作りに取り組む必要があるのです。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

この記事の監修者情報
残田康平 (ISOコンサルタント)
約5年間ISOコンサルティング会社で累計200社以上のISO構築に携わってきました。現在はISOプロのISOコンサルタントとして活動中。企業の得意・不得意を引き出しつつ、自社にピッタリなISOを構築することが得意です。これからISOに携わる人々にわかりやすい言葉で情報発信をしています。
ISO27001入門

【ISO27001入門】規格の詳細から要求事項・取得のノウハ…

インタビュー

タレント揃い!「人」にこだわるIT企業のISO導入成功の鍵

ISOプロ講座 HACCPプロ講座 HACCPセミナー マンガで分かるISOプロ お電話での問い合わせ コンサルタント募集
WEB相談