情報セキュリティ7大要素とは?
ISO27001 規格 では、CIAとも呼ばれる情報セキュリティの3大要素(機密性・完全性・可用性)をバランスよく維持することが求められますが、情報セキュリティにおける重要な抑制にはこの3つ以外にも4種類存在していると言われています。今回は、情報セキュリティの7大要素とはどのようなものか、またそれらはどういった特性なのかということについてご紹介していきたいと思います。
目次
情報セキュリティの7大要素とは
情報セキュリティの7大要素とは、情報セキュリティの3大要素である「機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)」に加えて「真正性(Authenticity)・責任追跡性(Accountability)・否認防止(Non-repudiation)・信頼性(Reliability)」の4つを加えた、情報セキュリティ上の重要な特性のことを言います。
ISO27001では基本的に情報セキュリティの3大要素のバランスを維持することが求められますが、ISO27001規格のマネジメントシステムの具体的管理策を網羅したISO27002では真正性や責任追及性というキーワードは用いられており、「維持することが望ましいもの」として認識されています。このため、より有効なマネジメントシステムを構築するためにはこれらの特性についても考慮する必要があると考えられています。
情報セキュリティ7大要素のそれぞれの内容
以下では、情報セキュリティの7大要素がそれぞれどういった特性なのかということについて簡単に解説していきたいと思います。
機密性(Confidentiality)
機密性とは、認定されていない個人や組織に対して情報を開示しないことを確実にする特性です。推測のしにくいパスワードを用いたり、IPアドレスなどの比較的信頼できるデータをキーとして閲覧・編集・実行権限に関するパーミッションを与えたりすることによって対策を施します。
機密性が損なわれると、情報の漏洩・データの改ざん・削除による完全性の損失、情報の信頼性の欠落といったインシデントが発生します。
完全性(Integrity)
完全性とは、データが正確であり完全で欠落していない状態を保証する特性です。インターネットを介しての通信ではデータの改ざんが行われたり、機密性が損なわれることによる不本意なデータの削除が行われたりすることがありますが、こういったインシデントが発生しないようにデータの暗号化や操作ログの取得、バックアップ体制の構築によって対策を施す必要があります。
ただし完全性を維持しようとしすぎると可用性を維持できなくなるため注意が必要です。
可用性(Availability)
可用性とは、認定した組織や個人がデータを要求したときにアクセスやデータの使用が可能であることを確実にする特性です。バックアップを取得したり予備サーバーを用意したりすることによってインシデント発生時にも素早く復旧できるように対策をとることで可用性を維持することができます。
可用性が損なわれることで、顧客の信頼損失や機会損失につながる可能性があります。
真正性(Authenticity)
真正性とは、なりすましが行われないように通信相手が本人かどうかを確実にする特性です。真正性を維持するためには、デジタル署名や二段階認証システムの導入、最近ではスマートフォンでの生体認証システムも頻繁に利用されています。
責任追跡性(Accountability)
責任追及性とは、インターネット上などで行われた一連の動作を追跡し、後になってインシデントが発覚したときに責任を追求できる状態を維持する特性です。スクリプト言語による操作ログの取得やミドルウェアによるアクセスログの取得が具体的な対策になります。
否認防止(Non-repudiation)
否認防止とは、情報セキュリティ上の何らかの行動を、ある特定の個人が行ったことを後から証明できるようにしておく特性です。操作ログやアクセスログに不正がないことを確実にし、責任追及性を担保することによって否認防止を維持することが可能になります。
信頼性(Reliability)
信頼性とは、意図した動作が確実に行われることを担保する特性です。アプリケーションのプログラム上で例外処理を投げるなどすることによって対策が可能になります。
まとめ
今回は、情報セキュリティの7大要素について解説してきました。上記を読んでいただくとわかると思いますが、これらの特性はそれぞれ相互に依存しあっています。例えば機密性が損なわれると、可用性や完全性が損なわれますし、完全性を厳重にしすぎると可用性が損なわれます。こういった7つの特性があることを理解し、マネジメントシステム上で7つの特性をバランス良く保つことが非常に重要なのです。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい