現在、企業として事業活動をスムーズに進めるためには、ITの活用は必要不可欠です。多くの企業では、個人情報や機密情報など重要な情報も含めて、様々な情報をITシステムで取り扱っています。
一方、これらの情報資産を狙って、悪意ある第三者によるサイバー攻撃も頻繁に発生しています。そのため、各企業は多方面にわたる情報セキュリティ対策を実施しなければなりません。
情報セキュリティにおいては、「機密性(C)」「完全性(I)」「可用性(A)」の三大要素を担保することが重要です。
本記事では、情報セキュリティの三大要素と言われる「CIA」の概要と、それが担保されなかった場合のリスク、それらに対する具体的な対策について、詳しく解説します。あらゆる企業で、これらの三大要素を守ることが求められています。ぜひ最後までお読みください。
目次
情報セキュリティの三大要素とは?
情報セキュリティとは、企業などの組織や個人の情報を守ることを指します。情報セキュリティマネジメントシステム(ISMS)における、情報セキュリティの管理・リスクなどは、JIS Q 27001:2023にまとめられています。
JIS Q 27001:2023では、情報セキュリティを「情報の機密性、完全性および可用性を維持すること」と定義されています。これら「機密性」「完全性」「可用性」を情報セキュリティの三大要素といいます。
機密性はConfidentiality、完全性はIntegrity、可用性はAvailabilityと英語では表現されることから、この情報セキュリティの三大要素のことを、頭文字を合わせて「CIA」とも呼んでいます。
機密性(C)
まずはじめに、機密性の定義・担保されなかったときのリスク・機密性を守るための対策について、詳しく紹介します。
定義
機密性とは、あらかじめアクセスを許可された者だけが、特定の情報にアクセスできる状態にしておくことを指します。
つまり、アクセスを許可されていない者には、その情報を使用させないことを表しています。
担保されなかったときのリスク
特定の情報へのアクセスが許可されていない者も、その情報の参照・更新・削除ができてしまうことになってしまいます。
たとえば、悪意のある第三者によって、情報漏洩や盗聴をされることにより、情報の秘匿性が損なわれます。その結果、当該企業の信頼性失墜につながり、最悪の場合には企業経営が立ち行かなくなってしまうリスクがあります。
具体的な対策
機密性を担保するための対策には、主に以下の3点があります。
・必要最小限のアクセス権限付与
・パスワード管理
・データの暗号化
1点目は、「必要最小限のアクセス権限付与」です。業務上、必要最小限の情報資産についてのみアクセス権限を付与します。この対策を徹底することで、特定の情報資産について、業務上認められているユーザーのみ、アクセス可能にできます。
2点目は、「パスワード管理」です。他人に推測されにくい安全なパスワードを設定し、他人の目に触れないように適切な方法で保管をしましょう。また、定期的にパスワードを変更することも忘れずに実施しましょう。
3点目は、「データの暗号化」です。データを暗号化することによって、悪意のある第三者がデータを窃取した場合にも、データを解読することが困難であるため、窃取による実害を抑えることができます。
完全性(I)
次に、完全性の定義・担保されなかったときのリスク・完全性を守るための対策について、詳しく紹介します。
定義
完全性とは、情報やそれを取り扱う情報システムが正確かつ完全な状態に保たれていることを指します。具体的には、情報を参照したときに、要求したすべての情報が提供され、過不足がないこと。提供された情報に間違いがない状態を指します。
また、情報が破損・改ざんされていないことも、完全性が担保されていることにあたります。
担保されなかったときのリスク
情報やそれを取り扱う情報システムに、完全性が保証されていない場合、つまり誤った情報となっているケースでは、自社および取引先や顧客に対して重大な影響を及ぼします。
たとえば、販売量の情報が誤ったデータとなっていた場合には、自社の収支決算額にも誤りが生まれてしまいます。また、銀行で預金高の情報が誤っていたときには、取引先や顧客の預金額が不正となり、それによって引き起こされる影響は大きく、企業の信頼性の失墜は免れません。
具体的な対策
完全性を担保するための対策には、主に以下の3点があります。
・データのバックアップ
・データの整合性チェック
・アクセスログの管理
1点目は、「データのバックアップ」です。仮に何らかの原因により、データに誤りが生じてしまったときに、バックアップからデータを戻すことによって、正しいデータに復元できます。
ここで注意すべき点は、あくまでデータバックアップを取得した時点での正しいデータに戻るだけであり、バックアップ取得後に発生したデータの更新については、復元できないという点です。
2点目は、「データの整合性チェック」です。たとえば、画面から入力されたデータに誤りがあった場合にはエラーとしたり、データ間の整合性のチェックをシステム的に実施し、不整合があった場合には、ユーザーに知らせる仕組みを作るといった対策があります。
3点目は、「アクセスログの管理」です。情報を取り扱う情報システムごとに、誰がいつどのように操作したのかといった情報をログに出力する対策です。アクセスログを確認することにより、データの不正がいつ誰によって行われたのかが追跡できるようになります。
可用性(A)
最後に、可用性の定義・担保されなかったときのリスク・可用性を守るための対策について、詳しく紹介します。
定義
可用性とは、いつでも情報やそれを取り扱う情報システムを利用可能な状態にしておくことを指します。つまり、ユーザーが必要なタイミングに必要な情報が見れるということです。サービスの信頼性や安定性を評価するための基準となっています。
担保されなかったときのリスク
必要なタイミングに情報を取り扱う情報システムが利用できなくなることによって、自社や取引先・顧客の業務ができなくなってしまうといった、悪影響を及ぼすことになります。
取引先や顧客にも多大な影響が及ぶことから、自社に対する信頼失墜・機会損失などが発生してしまうリスクがあります。
具体的な対策
可用性を担保するための対策には、主に以下の3点があります。
・システムの冗長化
・負荷分散
・モニタリング
1点目は、「システムの冗長化」です。簡単に言いますと、同じシステムを複数準備しておき、通常は一方のシステムが稼働している状態にし、もう一方のシステムは待機状態にしておきます。
そして、一方のシステムに不具合が発生し利用できなくなってしまったときに、もう一方の待機していたシステムを稼働させることによって、サービス停止時間を極力短縮させる対策です。
2点目は、「負荷分散」です。特定のハードウェアに処理が集中してしまい、処理が遅延または停止しないように、複数のハードウェア構成とし処理が集中しそうになった場合には、別のハードウェアでシステムを稼働させることで、可用性を担保する対策です。
3点目は、「モニタリング」です。ハードウェア・ソフトウェアの稼働状況を定期的に確認し、不具合や処理集中などが発生した際には、すぐに検知できるようにします。検知が早まることで、復旧対策も早く着手可能となり、より早くシステム復旧を可能とするための対策です。
情報セキュリティの三大要素を守るために適切な対策を講じましょう
本記事では、情報セキュリティの三大要素である、「機密性」「完全性」「可用性」について、定義・担保されないときのリスク・対策方法について、詳しく解説してきました。
「機密性」「完全性」「可用性」が損なわれてしまうと、自社・取引先・顧客にとっても大きな悪影響を及ぼすことがわかったかと思います。
そのため、これらの情報セキュリティの三大要素を守るために、適切な対策を講じるようにしましょう。なお、この三大要素は、情報セキュリティマネジメントシステム(ISMS)にとっても、重要な概念として位置づけられています。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
