情報セキュリティの3要素をご存じでしょうか。情報セキュリティを保つために必要な要素である「機密性」「完全性」「可用性」のことで、略して「CIA」とも呼ばれます。今回は追加された4つの要素を含め、初めて聞くという方にも、わかりやすく解説していきますので、ぜひ自社のセキュリティ強化の参考にしてください。
今回のお悩み
情報セキュリティの3要素とは何なのか?ほかにも大切な要素や対策方法があれば知りたい。それらを踏まえて、自社でどのような情報セキュリティ対策を立てればよいのかを把握したい。
私が解説します!
基本的な3要素に加え、追加された4つの要素や情報セキュリティにおける対策方法をわかりやすく解説します。情報セキュリティについての理解を深めることで、自社で取り組むべき対策が明確になります。
目次
( 1 ) 情報セキュリティの3要素とは?
「情報セキュリティと言われても漠然としている」と感じている方は少なくないでしょう。あまり知られていないかもしれませんが、情報セキュリティの3要素というものが存在します。総務省の「国民のためのサイバーセキュリティサイト」では、企業や組織の情報資産を脅威から保護し、以下の3つを保つことが情報セキュリティであると説明しています。
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
なお情報資産とは、重要な情報そのものに加えて、それらが記載されているファイル、メールなどのデータ、さらにそのデータが保存されているPC、サーバ、USBなどの記録媒体などを指します。
参照:総務省_国民のためのサイバーセキュリティサイト( 2 ) 情報セキュリティの3要素の詳細
情報セキュリティの3要素は、それぞれの英語の頭文字を取って「CIA」とも呼ばれます。3つの要素について詳しく解説します。
●機密性(Confidentiality)
コンフィデンシャルという英語は、近年わが国でもよく使われるようになりましたが、要は「社外秘」のように限られた者だけが情報を閲覧できる状態です。データベースにアクセスできる者を制限することが機密性の確保につながります。
●完全性(Integrity)
読んで字のごとく、情報が完全であることの大切さを指します。内容が正確であることはもちろん、情報が第三者によって不正に改ざんされたり、破損されないよう十分に気をつけなければなりません。さらに情報が最新の状態に保たれていることも重要です。
●可用性(Availability)
あまり聞き慣れない言葉かもしれませんが、「用いることが可能であること」つまり情報を利用したいときにいつでも利用できる状態を指します。業務が停止することなく、常に情報を提供するサービスが稼働していることが「可用性の維持」になります。
( 3 ) 情報セキュリティの3要素に追加された4つの要素
近年では情報セキュリティの3要素のほかに、さらに高度な情報セキュリティを構築するため、新しく4つの要素が追加されています。3要素と合わせて「情報セキュリティの7要素」とも呼ばれます。
- 真正性(Authenticity)
- 責任追跡性(Accountability)
- 信頼性(Reliability)
- 否認防止(Non-repudiation)
真正性は情報にアクセスする者が本人に間違いないことを認証できること、責任追跡性は情報セキュリティインシデント(※1)が起きた場合に備えて、組織や個人の動きを追跡できることです。また信頼性はデータ管理のツールやシステムが、十分に信頼でき意図した通りに動くこと、否認防止は情報を作成した者が後から事実を否認できないように証明することを指します。
※1 情報セキュリティインシデント:サイバー攻撃や情報漏洩など、情報セキュリティに関してリスクの高い事案・事象のこと。( 4 ) 情報セキュリティの3要素を保つための対策方法
最後に、情報セキュリティの3要素を担保するセキュリティ対策を実施するにはどうすればいいか、具体的な方法を紹介します。
●機密性を保つ
機密性を保持するためには、重要な情報へのアクセスに制限をかけ、情報漏洩を防ぐことが重要です。アクセス制限の基本的な対策は、個人情報や機密情報の入ったファイルなどを閲覧する際にパスワードやIDを設定することです。しかしすぐに第三者が推測できるものや、メモに書き残して誰でも見られる状態になっていては意味がありません。できれば定期的に変更することもおすすめします。
インターネットが普及し、Webサービスやアプリなどの利用も広がっています。これに伴い、使用するパスワードやその管理が重視されるようになっています。安全性の高いパスワードと管理方法について、以下の記事でご紹介しています。
●完全性を保つ
情報が改ざんされるリスクを防ぎ、完全性を保つことは情報や自社の信頼性を保つためにも重要です。情報を常に正しい状態に保ち、不慮の事態による破損や損失を防止するためには、更新手順のルールを明確化することが大切です。またアクセスや更新の履歴が残るツールを使うことで、改ざんのリスクが軽減されます。ファイアウォール(※2)やUTM(※3)などのセキュリティツールの導入も有効です。
サイバー攻撃や情報漏洩など、企業はさまざまなネットワーク上のリスクにさらされています。これらの脅威から自社を守るため、情報セキュリティ対策として有効なツールやその機能・効果などを以下の記事でご紹介しています。
●可用性を保つ
アクセス権限を付与された人が、必要な情報をいつでも使用できる状態にするためには、万が一に備えて情報のバックアップ、クラウドサービス(※4)の活用、あるいはシステムの二重化(同じシステムを二つ準備しておくこと)などを行う必要があります。業務やサービスが停止した際、いかに迅速に復旧できるかがカギになるので、非常時の運用方法も把握しておきましょう。
会社の信用を損なわないためにも、こうした情報セキュリティの3要素に対する取り組みは、必ず実施する必要があります。
企業活動のデジタル化に伴い、機密情報や個人情報を狙うサイバー攻撃はますます増加しています。情報セキュリティ対策の基本から具体的な対策、さらに有効なツールについても、以下の記事でご紹介しています。
※3 UTM:「Unified Threat Management」の略で、日本語では「統合脅威管理」。ネットワークの出入り口に設置することで、外部・内部の脅威から社内ネットワークを包括的に守る役割を担う。
※4 クラウドサービス:クラウドは「雲」の意。インターネット環境が整っていれば、いつでもどこでもファイルのアップデートやダウンロードなどができる。
( 5 ) まとめ
ここまで、情報セキュリティの3要素および追加された4つの要素について、わかりやすくご紹介しました。セキュリティ強化の大切さをあらためてご理解いただけたのではないでしょうか。サイバー攻撃を完全に防ぐことは困難ですが、適切なセキュリティ対策を常に行うことによって、リスクを抑えることができます。まずは自社のセキュリティ対策の現状をチェックし、必要な対策方法を検討しましょう。
サクサでは、サイバー攻撃をはじめとする中堅・中小企業の課題を解決するツールを多数ご用意しています。お気軽にお問い合わせください。
また、最新セキュリティレポートや情報漏洩対策チェックリストなど、さまざまなお役立ち資料もご提供していますので、ぜひご活用ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。