情報セキュリティの3つの要素「CIA」とは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を指します。これらは情報セキュリティの基本原則となり、データやシステムが外部からの脅威や内部からの誤操作から守られることを目的にしています。近年、この概念が拡張され、4つの新要素を加えた7要素でとらえられる場合も出てきています。
この記事では、CIAの3つの要素、拡張された4つの要素と、それぞれの対策方法について詳しく解説します。この記事を読めば、情報セキュリティの課題に対する理解を深め、より強固な情報セキュリティ対策を立てることが出来ます。
情報セキュリティの3要素「CIA」とは?
情報セキュリティにおける3つの基本要素は、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3つです。これらの要素は「CIA」と略称されます。情報セキュリティマネジメントシステム(ISMS)において、これらの要素をバランスよく高めていくことが目指されています。
機密性(Confidentiality)
ここでは、特定の情報が許可された人物以外に漏れないように保護することを目指します。不正なアクセスから情報を守ることを意味します。具体的には、パスワードの管理やアクセス権限の制御、暗号化対策、物理的セキュリティ、社員教育などを通して対策することができます。
完全性(Integrity)
完全性は、情報が正確であり、不正な変更や改ざんから保護されている状態を指します。これは、情報が信頼できる状態に保たれ、その正確さや一貫性が維持されていることを意味します。例えば、データをシステムに入力する際、その正確さや妥当性を検証するプロセスを設けることや、変更履歴の記録、変更後のレビュー、Webサイトの改ざん防止システムなどで対策することができます。
可用性(Availability)
可用性は、情報やシステムがユーザーにとって常にアクセス可能であることを保証し、ビジネスの継続性と効率性を保つための概念です。つまり、情報が常に利用可能であり、システムが信頼性高く稼働している状態を指します。例えば、冗長性を確保することで、システムの一部が故障しても全体の運用に影響が出ないようにしたり、定期的なメンテナンスやバックアップを取ること、サイバー攻撃やマルウェアからシステムを保護するセキュリティ対策を施すことで対策できます。
拡張された4つの新要素
CIAの概念が拡張されて、以下の4つの要素も情報セキュリティにおいて重視されるようになってきました。
それが真正性(Authenticity)、信頼性(Reliability)、責任追跡性(Accountability)、非抵触性(Non-Repudiation)です。
真正性(Authenticity)
データや情報が、その発信元や作成者によって本物であることを示す性質です。つまり、真正性が確保されているデータや情報は、その信頼性が高いということです。
真正性は、データや情報の改ざんや偽造を防ぐために非常に重要な性質であり、以下のような分野で必要とされます。
- 電子メールやWebサイトなどのデジタルサービス
- 電子署名による文書の署名や認証
- ユーザーアカウントやセッション管理における認証
真正性を確保するためには、以下のような手法が用いられます。
- 電子署名やデジタル証明書による認証
- ハッシュ関数によるデータの一意性の確認
- パスワードや生体認証などの認証手法
真正性を確保することで、情報セキュリティを高め、信頼性の高いコミュニケーションやデータの管理が可能となります。
信頼性(Reliability)
システムやデータの正確性や信頼性の高さを指します。つまり、システムやデータが期待通りに動作し、誤りや不正確な情報がなく、安定して利用できることを示します。
信頼性が低いと、システムが予期せぬ動作をしたり、データの正確性が保証されなかったりするため、情報漏えいや不正アクセスなどのセキュリティ上の問題が発生する可能性が高まります。
信頼性を高めるためには、以下のような方法があります。
- 冗長性の確保:システムやデータに冗長性を持たせることで、障害が発生してもシステムやデータが機能するようにすることができます。
- テストと検証:システムやデータを定期的にテストし、正常に動作していることを確認することが重要です。
- 監査とレビュー:システムやデータに対して、定期的に監査やレビューを実施し、問題を早期に発見することができます。
- バックアップと復元:データを定期的にバックアップし、必要な場合には復元できるようにすることが重要です。
これらの手法を用いて、信頼性の高いシステムやデータを実現することができます。また、信頼性はセキュリティ上の要件だけでなく、ビジネス上でも重要な要素であるため、情報セキュリティだけでなく、ビジネス上の要件を満たすためにも、信頼性の高いシステムやデータを実現することが求められます。
責任追跡性(Accountability)
ある行動や決定について、その責任を負う者が明確であることを示す性質です。つまり、責任が確立されている場合、誰が何を行ったのか、何が起こったのかが明確であり、必要に応じて追跡や調査ができるようになります。
情報セキュリティにおいて、責任を確立することは非常に重要です。例えば、情報漏えいやデータの改ざんなどが発生した場合、責任が明確でなければ、適切な対策や再発防止策が講じられないまま問題が解決されないまま放置されることがあります。
責任を確立するためには、以下のような手法が用いられます。
- アクセス制御による認証の強化
- セキュリティログの記録と管理
- セキュリティインシデントの報告義務と対応体制の整備
責任を確立することで、情報セキュリティを高め、信頼性の高い情報システムの構築が可能となります。また、法的な観点からも、責任の明確化が求められることがあります。
非抵触性(Non-Repudiation)
メッセージやトランザクションを行ったことを、後から否定できないようにすることです。つまり、メッセージの送信者やトランザクションの送信者が、後で自分がそれらを行ったことを否定できない状態を指します。
非抵触性は、真正性と同様に信頼性の高い情報セキュリティを実現するために重要な概念です。非抵触性を実現するためには、以下のような技術が使用されます。
- 電子署名:電子文書に対して、署名者が文書を署名したことを証明する仕組みです。
- 電子証明書:電子文書に署名者の証明を付与することで、証明書の発行者が署名者の認証を行うことができます。
- 監査ログ:システムの動作履歴を監視・記録し、後から復元できるようにすることで、トランザクションの履歴を保管することができます。
これらの技術によって、非抵触性を確保することで、情報セキュリティを強化し、信頼性の高いトランザクションや通信を実現することができます。また、非抵触性は、法的な観点からも重要であり、電子商取引などのビジネス上で必要な取引において、法的な証明力を持つことが求められることがあります。
Pマーク・ISMSの取得・更新申請のご相談ならオプティマ・ソリューションズ!
情報セキュリティの分野では、CIAと呼ばれる3要素(機密性(Confidentiality)、完全性(Integrity)、可用性(Availability))が長い間、核となる要素として認識されてきました。しかし、デジタルトランスフォーメーション、クラウドコンピューティング、IoT、ブロックチェーン技術などの新技術の台頭、さらにはビジネスとITの統合の進展に伴って、より多様なセキュリティ要件が生まれてきました。この背景に基づいて、真正性、信頼性、責任追跡性、非抵触性という4つの新要素が、情報セキュリティを実現するために必要な要素として取り上げられるようになったのです。
弊社は創業後の18年間で3,000件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではPマーク認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。
