押さえておきたい基礎知識！情報セキュリティの3要素とは

「機密性」（Confidentiality）

機密性の高い情報は企業により異なります。メーカーならば新製品の開発情報、小売店ならば顧客情報などがそれにあてはまりますが、社員の個人情報はどの企業でも保有する機密性の高い情報です。このような機密性の高い情報は、社内でもできるだけ情報にアクセスできる人を減らすことで漏えいや悪用リスクが減ることになります。
具体例ではオフィスへの立ち入りの際、パソコンへのログイン、必要なデータの呼び出し、資料室などに入室する際の、IDやパスワードによる管理です。また特定のエリアに入室者制限をするなどもそうです。
ルールの設定やIDとパスワードを使えば管理は可能です。しかし以下の3点に注意してください。

パスワードが安易な数字だったり定期的な変更がなかったり、付箋に書いてパソコンに貼ってあったりするのでは有名無実です。逆に、過度に厳格なルールにしてしまうと、社員の作業効率が著しく下がり、結果、社内の不満が高まってルールが形骸化する可能性もあります。またルールやシステムが完璧に構築できていても、IDやパスワードを知っている社内の犯罪者や、サイバー攻撃を仕掛けてくる外部の犯罪者からは機密性を保持できなくなることもあります。

「完全性」（Integrity）

サイバー攻撃というと個人情報の取得を狙ったものが多いのですが、最近は情報の改ざんにとどめる例もあります。つまりターゲット企業の経営のかく乱や信用の失墜を図るためです。外部に限らず、社内でも悪意の有無によらずデータの管理ミスが起きれば、企業の信頼性が揺らぐことになります。データを扱う社員のオペレーション教育も必須です。火災や天災でデータが破損や損失することで企業の継続性が失われてしまうリスクにも目を向けなければなりません。システムのバグも時としてデータを不正確なものにしてしまうのでチェックが欠かせません。
データ読み込みと書き込み、保管や転送など運用の際には次のことに留意しましょう。

「1.」は前述の「機密性」（Confidentiality）が該当します。データの改ざん防止には、必要性のない人には開示だけにして上書きができないようにするなどがあります。アクセス履歴が追えれば、ミスや犯罪者の足跡をたどり修正ができます。データを正副2つ持つことで片方を喪失しても、またデータが改ざんされても置き換えたり、データマッチングで差異を検知したりすることが可能です。重要なデータは暗号化しておけば、悪意の第三者による改ざんや漏えいの際の被害を低減することができます。

「可用性」（Availability）

これは、データをいつでも安全に利用できることを確保することで、システムの稼働の継続性とも言えます。前述の「機密性」と「完全性」が確保されることが前提ですが、データのバックアップにしても、システムダウンや天災など大規模な災害時に、いかに早く復旧できるかが問われます。メインデータの複写をサブとして持つだけではなく、それがすぐに利用できないと企業としては意味がないのです。システムを二重化し、例えば東京本社が機能停止しても大阪支社が肩代わりできる体制などが該当します。