情報セキュリティの3要素「CIA」と4つの新要素

ISMS

2025.5.1

オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得／更新のお手伝いをしています。担当者の皆様自身に情報セキュリティに関する様々な知識やコツを身に付けていただいて、皆様の会社自体が成長していただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

近年は、生成AIを始めとしたITの進歩がますます進み、企業活動においてITは必要不可欠な存在となっています。

顧客情報・市場情報・仕入先情報・生産管理情報などの情報や、それらの情報を収集・処理・保管のために利用する装置を「情報資産」と呼んでいます。もはや、情報資産は企業経営においてもっとも重要な要素といっても過言ではありません。

これらの情報資産が外部に流出したり漏洩したりすると、社会的に大きな影響を与え企業の信頼性が失墜してしまう可能性が高いといえるでしょう。

そのため、企業における情報セキュリティシステムの重要性は、ますます大きくなっており、情報セキュリティに関連する意識を高めることが求められています。

情報セキュリティの3つの基本要素「CIA」は、機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）を指します。これらは情報やシステムを守るための基本的な原則で、外部からの不正アクセスや内部の誤操作からデータを保護することが目的です。近年、これらの3つの要素に加え、新たに4つの要素が加わることも多く、情報セキュリティを7つの要素で捉えるケースが増えています。

この記事では、情報セキュリティの基本要素「CIA」と新たに追加された4つの要素について、具体的な対策方法も交えて詳しく解説していきます。情報セキュリティについて理解を深め、安心して利用できるシステム環境を構築しましょう。

1 ISMSってなに？
2 情報セキュリティの3要素「CIA」とは？
3 情報セキュリティをさらに強固にするための「4つの新要素」
4 オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします！

ISMSってなに？

ISMS（情報セキュリティマネジメントシステム）は、企業や組織が情報セキュリティを強化するための取り組みで、外部からの脅威や内部からの情報漏えいを防ぎ、顧客や取引先の信頼を築く基盤です。

「ISMSって何だろう？」と気になる方は、ぜひこちらの記事をご覧ください！

情報セキュリティの3要素「CIA」とは？

情報セキュリティにおける３つの基本要素は、機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の３つです。これらの要素は「CIA」という略称で呼ばれています。情報セキュリティマネジメントシステム（ISMS）において、これらの要素をバランスよく高めていくことが目指されています。

機密性（Confidentiality）

ここでは、特定の情報が許可された人物以外に漏れないように制限すること、つまり不正なアクセスから情報を守ることを意味します。具体的には、パスワードの管理やアクセス権限の制御、暗号化対策、物理的セキュリティ、社内における社員教育などの策定・実施を通して対策することができます。

完全性（Integrity）

完全性は、情報が正確であり、不正な変更や改ざんから保護されている状態を指します。これは、情報が信頼できる状態に保たれ、その正確さや一貫性が維持されていることを意味します。例えば、データをシステムに入力する際、その正確さや妥当性を検証する適切なプロセスを設けることや、変更履歴の記録、変更後のレビュー、Webサイトの改ざん防止システムなどで対策することができます。

可用性（Availability）

可用性は、情報やシステムがユーザーにとって常にアクセス可能であることを保証し、ビジネスの継続性と効率性を保つための概念です。つまり、情報が常に利用可能であり、システムが信頼性高く稼働している状態を指します。例えば、冗長性を確保することで、システムの一部が故障しても全体の運用に影響が出ないようにしたり、定期的なメンテナンスやバックアップを取ること、サイバー攻撃やマルウェアからシステムを保護するセキュリティ対策を施すことで対策できます。

情報セキュリティをさらに強固にするための「4つの新要素」

従来のCIA（機密性、完全性、可用性）に加え、以下の4つの新要素も情報セキュリティの基本として注目されるようになりました。これらの4要素に取り組むことにより、さらにセキュリティ面での備えが強固になるためです。

それが真正性（Authenticity）、信頼性（Reliability）、責任追跡性（Accountability）、否認防止性（Non-Repudiation）です。

真正性（Authenticity）

真正性とは、情報が発信元のものであり、改ざんされていないことを確認する性質です。たとえば、メールの送信者が本人であることを確かめる仕組みが真正性を守る対策です。

真正性を保つための具体的な対策

電子署名の利用

電子署名を文書やメールに付けると、発信者が間違いなく本人であることを証明できます。例えば、契約書に電子署名を付けると、後から「その契約をした覚えがない」と否定できない状態が保てます。

デジタル証明書の活用

デジタル証明書は、信頼できる第三者機関が発行する証明書で、発信者が正当な人物であることを示します。たとえば、銀行のウェブサイトにアクセスするときに、ブラウザが証明書をチェックして「本物のサイトである」ことを確認します。

ハッシュ関数による改ざん防止

ハッシュ関数を使うと、データの改ざんを防止できます。たとえば、データを一度ハッシュ化して保存し、後でそのデータを確認するときに再度ハッシュ化して一致するか確認すれば、データが変わっていないことが保証できます。

二段階認証や生体認証の導入

二段階認証や生体認証（指紋や顔認証など）を導入することで、ログイン時に本人確認をより強固にします。これにより、なりすましを防ぎ、システムやデータへのアクセスが正当な利用者に限られるようにします。

信頼性（Reliability）

信頼性とは、システムやデータがいつも正しく、意図した通りに動作することを保証することです。たとえば、仕事で使うシステムがエラーを起こしたり、入力ミスでデータが間違って記録されると、信頼性が低いと言えます。

信頼性を保つための具体的な対策

システム設計やテストの徹底

システムを作るときにエラーが出ないような設計を行い、動作テストを何度も行ってバグを見つけて修正します。こうすることで、不具合が発生するリスクを最小限に抑えるという考え方です。

マニュアルやルールの整備

従業員が操作を間違えないように、従業員向けのわかりやすいマニュアルやルールを作り、みんなが理解して守れるようにします。こうすることで、人的ミスを減らすことができます。

責任追跡性（Accountability）

責任追跡性とは、誰がいつ何をしたのかを記録し、必要に応じて確実に追跡や確認ができるようにする仕組みです。万が一、問題が発生したときに原因を特定して対策を講じやすくなります。

責任追跡性を確保するための具体的な対策

アクセス制御と認証の強化

ユーザー認証（IDやパスワード、二段階認証など）で誰がシステムにアクセスしているのかを確認し、アクセス制御によって権限のないデータやシステムへのアクセスを防ぎ、各ユーザーの行動を明確にします。

セキュリティログの記録と管理

セキュリティログを記録することで、誰がいつシステムにアクセスし、どんな操作を行ったかを確認できます。ログは、アプリケーションはもちろんのこと、ネットワーク通信・サーバーへのアクセス状況についても合わせて取得範囲に設定するとよいでしょう。

ログを取得することによって、特定のユーザーがデータを削除したり変更した場合、また外部からの侵入によりデータ破壊がされた場合に、その履歴が残るとともに監視ができるため、問題が起きた際に早期に原因を特定できます。

その結果、障害復旧を迅速に実現することが可能となります。

否認防止性（Non-Repudiation）

否認防止性とは、情報の送信者や行動の実行者が「自分ではない」と後から否定できないようにすることです。つまり、あるメッセージや取引が「確かにその人によって実行された」と証明できる状態を保つことです。

否認防止性を確保するための具体的な対策

電子署名

電子署名は、デジタルデータに「誰が署名したか」を示す仕組みです。たとえば、契約書に電子署名を使うと、署名した人がその契約に同意したことが証明され、後から「署名していない」と否定できなくなる効果があります。

デジタル証明書

デジタル証明書は、信頼できる第三者機関によって発行されるもので、発信者が本人であることを証明します。デジタル証明書が付与されたメッセージや文書は、信頼できる内容とされ、後から発信者が否定することができません。

監査ログの記録

監査ログは、システムや取引の履歴を記録しておく仕組みです。たとえば、システムへのログインやデータの送受信の記録を残すことで、誰がどの機能を使用し取引を行ったのか証明できます。何か問題が発生しても、責任の所在を明確にできます。

なお、社外サービスを利用する際や、新規取引先と契約するにあたっては、先方が「CIA」および真正性・信頼性・責任追跡性・否認防止性を担保しているかを、確認することをおすすめします。サイバーセキュリティ面での安全が保証されるため、大切なことであるためです。

オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします！

弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。

・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している（運用時に年に1度の教育が必須）
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています

しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。

創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得／更新の体験談を多数公開していますので、ぜひご覧になってください。

お客様の声
www.optima-solutions.co.jp/voice

これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。