情報セキュリティの3要素とは|情報セキュリティ対策の基本知識

あらゆる情報がデジタル化される現代において、企業が保有する情報資産を適正に運用する必要があります。本記事では情報セキュリティで重要な基礎知識として理解すべき「情報セキュリティ3要素」と新たな「情報セキュリティ7要素」について解説します。

情報セキュリティ3要素とは

情報セキュリティの3要素とは下記の3つです。各要素の英語の頭文字から「CIA」とも呼ばれています。これらの要素は、情報の改ざんや流出、物理的な破損を防ぎ、適切な情報運用のために意識すべき重要な要素を定義したものです。

• 機密性 / Confidentiality
• 完全性 / Integrity
• 可用性 / Availability

この3つについて詳しく解説していきます。

1.機密性 / confidentiality

機密性とは、情報に対するアクセスを保護、管理することです。外部に情報を流出させないために、社内でも情報にアクセスできる人やその機会を少なくすることで機密性は高まり、情報の漏えいや悪用のリスクを減らすことができます。

機密性を高めるべき情報の対象は企業により様々ですが、下記のような情報が例として挙げられます。

• 従業員の個人情報
• 顧客情報
• 新製品の開発情報
• システムのパスワード

上記の機密性の低さが情報の漏えいや破損などを引き起こしてしまいます。機密性を高める具体的な施策には以下のようなものが挙げられます。

• HDDなどは、管理された場所で保管する
• パスワードを複雑にする
• IDやパスワードをメモに書き起こさない
• 不必要な情報を社外に持って外出しない

2.完全性 / integrity

完全性とは、改ざんや虚偽のデータがなく、過不足のない正確な情報が保持されている状態のことを指します。完全性の低下がデータの正確性や信頼性の低下を引き起こします。完全性の低いデータは利用価値が失われてしまいます。また完全性の低下は企業としての信頼を失うことにも繋がってしまう可能性もあります。

対策には以下のものがあります。

• デジタル署名
• データ利用者のコントロール
• 履歴や改変の記録
• バックアップ体制の強化

3.可用性 / availability

可用性とは、正当なアクセス権を持つ人が情報をいつでも使用できることを指します。必要なタイミングで情報へアクセスでき、目的を達成するまでの間にアクセスやデータ処理が中断されないシステムは可用性が高いということができます

可用性を保つためには、以下のような施策が考えられます。

• システムの二重化（多重化）
• 災害時の復旧対策
• BCP（事業継続対策）
• システムのクラウド化

情報セキュリティ7要素とは(4つの新要素）

情報セキュリティには、3要素(CICA)に加えて、新たに4つの要素が追加されました。追加された下記の4つの要素を含んだものを情報セキュリティ7要素と呼びます。

• 真正性 / Authenticity
• 信頼性 / Reliability
• 責任追跡性 / Accountability
• 否認防止 / non-repudiation

新しい4つの要素も1つずつ見ていきましょう。

1.真正性 / Authenticity

真正性とは、情報にアクセスする主体が「アクセス許可された者」であることを担保するものです。これにより不正なログインやなりすましを防止することができます。

真正性を実現する具体的な施策には、以下のようなものが挙げられます。

• デジタル署名
• 二段階認証
• 生体認証(声や指紋)

2.信頼性 / Reliability

信頼性はデータやシステムを使用した際の動作が、意図した通りの結果を出すことを指します。データやシステムには、従業員の操作ミスやプログラムの不具合（バグなど）によって、意図的でない改ざんが発生することがあります。

具体的な施策には以下のようなものが挙げられます。

• システムやソフトウェアが不具合を起こさない設計
• 不具合のない設計をもとにした構築
• ヒューマンエラー（操作ミスなど）に対応する仕組みの構築

3.責任追跡性 / Accountability

責任追跡性とは、企業組織や個人などのデータ使用の動きを追跡できる特性です。データへのアクセス状況や閲覧データを記録することで、いつ・誰が・何を行ったのかを可視化することができます。

責任追跡性の具体的な施策には、次のようなものが挙げられます。

• アクセスログ
• システムログ
• デジタル署名
• 操作履歴
• ログイン履歴

4.否認防止 / non-repudiation

否認防止は、情報に関する行動や事象が後から否定されないよう証明する特性です。
データの書き換えが行われた際、その変更を行った人が変更を否認する場合があります。すなわち、否認防止は「やっていない」と言われる状況を防ぐことを指します。アクセスログや操作ログを残すことで、後から否認できないよう対策することができます。

セキュリティ要素の標準と規格

ISOとIEC

情報セキュリティの3要素(CIA)には国際標準が定められています。ISOやIECといった団体によって情報セキュリティの基準は国際的に統一されており、代表的な国際標準には「ISO/IEC 27001」などがあります。

また、ISO（国際標準化機構）とIEC（国際電気標準会議）には下記のような違いがあります。

• ISO（国際標準化機構）：品質や環境など、様々な国際標準を定めている
• IEC（国際電気標準会議）：電気や電子技術といった国際基準を定めている

ISO規格とNIST規格

情報セキュリティの規格には、ISO規格のほか米国国立標準技術研究所の運営するNIST規格があります。「NIST CSF」と表記され、「ISO/IEC 27001」には下記の違いがあります。

• ISO/IEC 27001：情報セキュリティの基準
• NIST CSF：サイバーセキュリティを向上させるフレームワーク

そもそも情報セキュリティって?

情報セキュリティとはインターネットやPCを利用する中で、企業が保有するデータの漏えいや破損が発生してしまわないように対策をすることを指します。
また、情報セキュリティを脅かす不正アクセスやウイルスによる攻撃を「セキュリティインシデント」と言います。
情報セキュリティの脅威や発生要因について見ていきましょう

情報セキュリティ対策基準

情報セキュリティの脅威は「人的脅威」「技術的脅威」「物理的脅威」の3つに分類されます。そしてこの3つの脅威の対策をしている状態を、情報セキュリティ対策の基準が保たれていると言うことができます。

情報セキュリティの人的脅威

人的脅威は「意図的な脅威」と「偶発的な脅威」の2つに分類されます。
意図的な脅威には、情報の不正な持ち出しや盗み見などが当たります。
偶発的な脅威にはメールの誤送信やメール受信によるウイルス感染、USBの紛失などが該当します。人的脅威は従業員の不正や偶発的なミスで発生します。要因として従業員の情報セキュリティに関する意識の低さなどが考えられます。

情報セキュリティの物理的脅威

物理的脅威は情報資産の破壊などによって発生する脅威です。物理的脅威の要因はハードウェアの故障によるシステムダウンが当てはまり、地震や火事などの災害が要因である環境的脅威も含まれます。

まとめ

本記事では情報セキュリティの3要素と新たな4つの要素を解説しました。上記で解説した要素は、改ざんを防止し正しい情報を保持するために従業員全員が常に意識しなければなりません。

従業員全体の情報セキュリティのリテラシーや意識を向上させ、社内の情報セキュリティ体制の見直しや適正な運用を自社だけで実施することが難しい場合もあります。その際は専門のコンサルティング企業へ相談することもおすすめです。

また従業員の情報教育や社内の個人情報の保護体制を見直すことが情報セキュリティ対策には重要です。プライバシーマークやISMSを取得し、社内の情報セキュリティ体制を強化してみてはいかがでしょうか。

株式会社UPFでは、1777社のプライバシーマーク取得をサポートしてきた業界No.1を誇る実績があります。
プライバシーマーク新規取得でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。