押さえておきたい基礎知識!情報セキュリティの3要素とは
情報セキュリティの3要素をご存じですか? 「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)の3つの要素のことで、それぞれの頭文字からCIAと略されています。
「機密性」は限られた人だけが情報に接触できるように制限をかけること。「完全性」は不正な改ざんなどから保護すること。「可用性」は利用者が必要なときに安全にアクセスできる環境であることです。
目次
-
- 「機密性」(Confidentiality)
- 「完全性」(Integrity)
- 「可用性」(Availability)
-
-
情報セキュリティの3要素
3要素(CIA)について、もう少し詳しくみてみましょう。
「機密性」(Confidentiality)
機密性の高い情報は企業により異なります。メーカーならば新製品の開発情報、小売店ならば顧客情報などがそれにあてはまりますが、社員の個人情報はどの企業でも保有する機密性の高い情報です。このような機密性の高い情報は、社内でもできるだけ情報にアクセスできる人を減らすことで漏えいや悪用リスクが減ることになります。
具体例ではオフィスへの立ち入りの際、パソコンへのログイン、必要なデータの呼び出し、資料室などに入室する際の、IDやパスワードによる管理です。また特定のエリアに入室者制限をするなどもそうです。
ルールの設定やIDとパスワードを使えば管理は可能です。しかし以下の3点に注意してください。
- 形式的なルールやID/パスワードの設定や管理になっていないか
- ルールを厳格にしすぎ、利用者の利便を損なっていないか
- 社内内部・外部の悪意ある第三者への対策ができているか
パスワードが安易な数字だったり定期的な変更がなかったり、付箋に書いてパソコンに貼ってあったりするのでは有名無実です。逆に、過度に厳格なルールにしてしまうと、社員の作業効率が著しく下がり、結果、社内の不満が高まってルールが形骸化する可能性もあります。またルールやシステムが完璧に構築できていても、IDやパスワードを知っている社内の犯罪者や、サイバー攻撃を仕掛けてくる外部の犯罪者からは機密性を保持できなくなることもあります。
「完全性」(Integrity)
サイバー攻撃というと個人情報の取得を狙ったものが多いのですが、最近は情報の改ざんにとどめる例もあります。つまりターゲット企業の経営のかく乱や信用の失墜を図るためです。外部に限らず、社内でも悪意の有無によらずデータの管理ミスが起きれば、企業の信頼性が揺らぐことになります。データを扱う社員のオペレーション教育も必須です。火災や天災でデータが破損や損失することで企業の継続性が失われてしまうリスクにも目を向けなければなりません。システムのバグも時としてデータを不正確なものにしてしまうのでチェックが欠かせません。
データ読み込みと書き込み、保管や転送など運用の際には次のことに留意しましょう。
- データの利用者を適切にコントロールする。
- アクセス者のアクセスや改変の履歴を残し、さかのぼれるようにする。
- バックアップシステムを重装備にして、暗号化したデータを保管・転送・利用する。
「1.」は前述の「機密性」(Confidentiality)が該当します。データの改ざん防止には、必要性のない人には開示だけにして上書きができないようにするなどがあります。アクセス履歴が追えれば、ミスや犯罪者の足跡をたどり修正ができます。データを正副2つ持つことで片方を喪失しても、またデータが改ざんされても置き換えたり、データマッチングで差異を検知したりすることが可能です。重要なデータは暗号化しておけば、悪意の第三者による改ざんや漏えいの際の被害を低減することができます。
「可用性」(Availability)
これは、データをいつでも安全に利用できることを確保することで、システムの稼働の継続性とも言えます。前述の「機密性」と「完全性」が確保されることが前提ですが、データのバックアップにしても、システムダウンや天災など大規模な災害時に、いかに早く復旧できるかが問われます。メインデータの複写をサブとして持つだけではなく、それがすぐに利用できないと企業としては意味がないのです。システムを二重化し、例えば東京本社が機能停止しても大阪支社が肩代わりできる体制などが該当します。
3要素(CIA)をどう活かすか
情報セキュリティというと、データの誤送信や名簿の置き忘れ、ノートパソコンの盗難ばかりをイメージしていては想定不足です。情報は盗まれなくても、不正アクセスにより一部が改ざんされたり、事故で破損したりしても大問題なのです。また漏えいリスクを恐れるあまり、情報を“開かずの間”に入れたままでも、データの解析や営業への利用がビジネスの鍵を握る時代の流れとは逆行してしまいます。
ITの技術は日々進歩し、経営や戦略上で必要不可欠なものになりました。ともすると利便性や機能面ばかりに目を奪われ、情報セキュリティがおろそかになることもありえます。
その点、シンプルなこの3つの要素を常に頭に置いてシステムの開発や調達、ルールの運用を行えば、企業の情報セキュリティの方向性に大きな誤りを生じさせることなく、進歩的なITの活用ができると言えます。
情報セキュリティのシステムや運用ルールを見直すにもこの視点は必要であり、事業継続性(Business continuity plan、BCP)とも深く関わっていることが理解できると思います。
セキュリティに関するお問い合わせ・ご相談
お電話でのお問い合わせ 富士通コンタクトライン(総合窓口)
0120-933-200 (通話無料)受付時間 : 9:00~12:00および13:00~17:30(土・日・祝日・当社指定の休業日を除く)
当社はセキュリティ保護の観点からSSL技術を使用しております。