ISO27001 規格 では、CIAとも呼ばれる情報セキュリティの3大要素(機密性完全性可用性)をバランスよく維持することが求められますが、情報セキュリティにおける重要な抑制にはこの3つ以外にも4種類存在していると言われています。今回は、情報セキュリティの7大要素とはどのようなものか、またそれらはどういった特性 なのかということについてご紹介していきたいと思います。

目次

情報セキュリティの7大要素とは

情報セキュリティの7大要素とは、情報セキュリティの3大要素である「機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)」に加えて「真正性(Authenticity)・責任追跡性(Accountability)・否認防止(Non-repudiation)・信頼性(Reliability)」の4つを加えた、情報セキュリティ上の重要な特性のことを言います。

ISO 27001では基本的に情報セキュリティの3大要素のバランスを維持することが求められますが、ISO27001規格のマネジメントシステムの具体的管理策を網羅したISO27002では真正性や責任追及性というキーワードは用いられており、「維持することが望ましいもの」として認識されています。このため、より有効なマネジメントシステムを構築するためにはこれらの特性についても考慮する必要があると考えられています。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

情報セキュリティ7大要素のそれぞれの内容

以下では、情報セキュリティの7大要素がそれぞれどういった特性なのかということについて簡単に解説していきたいと思います。

機密性(Confidentiality)

機密性とは、認定されていない個人や組織に対して情報を開示しないことを確実にする特性です。推測のしにくいパスワードを用いたり、IPアドレスなどの比較的信頼できるデータをキーとして閲覧・編集・実行権限に関するパーミッションを与えたりすることによって対策を施します。

機密性が損なわれると、情報の漏洩・データの改ざん・削除による完全性の損失、情報の信頼性の欠落といったインシデントが発生します。

完全性(Integrity)

完全性とは、データが正確であり完全で欠落していない状態を保証する特性です。インターネットを介しての通信ではデータの改ざんが行われたり、機密性が損なわれることによる不本意なデータの削除が行われたりすることがありますが、こういったインシデントが発生しないようにデータの暗号化や操作ログの取得、バックアップ体制の構築によって対策を施す必要があります。

ただし完全性を維持しようとしすぎると可用性を維持できなくなるため注意が必要です。

可用性(Availability)

可用性とは、認定した組織や個人がデータを要求したときにアクセスやデータの使用が可能であることを確実にする特性です。バックアップを取得したり予備サーバーを用意したりすることによってインシデント発生時にも素早く復旧できるように対策をとることで可用性を維持することができます。

可用性が損なわれることで、顧客の信頼損失や機会損失につながる可能性があります。

真正性(Authenticity)

真正性とは、なりすましが行われないように通信相手が本人かどうかを確実にする特性です。真正性を維持するためには、デジタル署名や二段階認証システムの導入、最近ではスマートフォンでの生体認証システムも頻繁に利用されています。

責任追跡性(Accountability)

責任追及性とは、インターネット上などで行われた一連の動作を追跡し、後になってインシデントが発覚したときに責任を追求できる状態を維持する特性です。スクリプト言語による操作ログの取得やミドルウェアによるアクセスログの取得が具体的な対策になります。

否認防止(Non-repudiation)

否認防止とは、情報セキュリティ上の何らかの行動を、ある特定の個人が行ったことを後から証明できるようにしておく特性です。操作ログやアクセスログに不正がないことを確実にし、責任追及性を担保することによって否認防止を維持することが可能になります。

信頼性(Reliability)

信頼性とは、意図した動作が確実に行われることを担保する特性です。アプリケーションのプログラム上で例外処理を投げるなどすることによって対策が可能になります。

まとめ

今回は、情報セキュリティの7大要素について解説してきました。上記を読んでいただくとわかると思いますが、これらの特性はそれぞれ相互に依存しあっています。例えば機密性が損なわれると、可用性や完全性が損なわれますし、完全性を厳重にしすぎると可用性が損なわれます。こういった7つの特性があることを理解し、マネジメントシステム上で7つの特性をバランス良く保つことが非常に重要なのです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ