![情報セキュリティの基礎知識!SQLインジェクションへの対策と具体的な仕組みを徹底解説](/contents/security-info/wp-content/uploads/sites/2/2022/02/banner_information_security_l.jpg")
情報セキュリティの概念には、3要素と呼ばれるものと、新しい4要素の合計7つの要素があることをご存知でしょうか。
今回は、これらの要素についての基礎知識をお伝えしていきます。
目次
ファイル共有・コラボレーションの
サービス説明書
- ファイル共有、コラボレーションにおける課題解決策
- DirectCloudの共有リンク、ゲスト招待、デジタルワークスペース、アクセス制御といった機能の詳細
- DirectCloudと他社サービスの違い、導入実績
ファイル共有・コラボレーションのサービス説明書
- ファイル共有、コラボレーションにおける課題解決策
- DirectCloudの共有リンク、ゲスト招待、デジタルワークスペース、アクセス制御といった機能の詳細
- DirectCloudと他社サービスの違い、導入実績
情報セキュリティの概念で重要となる3要素とは
ここでは、情報セキュリティの概念で重要となる3要素とは何か、詳しくご説明していきます。
なお、情報セキュリティの3要素である「機密性(confidentiality)」「完全性(integrity)」「可用性(availability)」は、3つの用語を英語表記したときの頭文字を取って「CIA」と呼ばれています。
機密性(confidentiality)
機密性とは、許可されていない利用者がパソコンやデータベースにアクセスできないように仕組みを作り、許可された利用者のみが必要な情報にアクセスできるようにすることを指します。
具体的には、「不正アクセス対策」が挙げられます。
例えば、社員や顧客の「個人情報」、企業内で使用している各種システムにアクセスするためのパスワードやID、新製品の開発情報などの「社内機密情報」は、機密性を担保する必要があります。
機密性が重要になる情報資産
- ・社員・顧客の個人情報
- ・開発情報・契約に関する機密情報
- ・自社の財務情報
- ・セキュリティレベルに関する情報
また、機密性を担保するための具体的な対策としては、以下が挙げられます。
- ・IDやパスワードなどの機密情報を持ち出さない
- ・デスクのメモや付箋などの目につきやすい場所にIDやパスワードを書き置かない
- ・IDやパスワードを持つ担当者を限定し、アクセス権限を管理する
- ・パスワードを複雑化して使いまわさない
- ・情報が保存されたHDDなどはデータセンターなどの万全なセキュリティ環境に保管する
機密性を担保していなければ、社外秘の情報が漏えいしてしまったり、サイバー攻撃や不正アクセスなどの重大な被害を被ってしまう可能性があります。
そのため、充実した機密性を担保することは、企業活動を推進していくうえで、非常に重要な要素といえます。
完全性(integrity)
完全性とは、改ざんされることなく、過不足のない正確なデータが保持されている状態のことを意味しています。
情報の完全性が失われてしまった場合、データそのものの信頼性が揺らぎ、適切に利用できるか疑わしい価値の低いデータとなってしまいます。
もし、企業の情報の完全性がなければ、その企業自体はもちろんのこと、取引先や顧客などにも多大な損失をもたらす可能性があるため、非常に大きなリスクとなります。
例えば、IoT(インターネット・オブ・シングス)が定着しつつある社会の中でデータの完全性が失われた場合、自動運転や医療システムの混乱などにより、場合によっては命に関わる大きな被害が出てしまう危険性もあり得ます。
情報の完全性を担保するための具体的な対策としては、以下が挙げられます。
- ・データバックアップなどの情報管理に関するルールを徹底する
- ・データの変更履歴を必ず残すようにする
- ・データにアクセスしたのか把握できるように履歴を残す
- ・データには識別できるようにデジタル署名をつける
可用性(availability)
可用性とは、データが必要な時にいつでも情報にアクセスすることができ、使用できる状態を保つことを意味しています。
そのため、一定の目的を達成するまでのデータ処理やアクセスが中断されることなく、稼働し続けることができるシステムは、可用性が高いと言えるでしょう。
なお、システムの可用性を担保するのはオンプレミス(システム使用者の会社内や施設内で機器を設置・管理すること)でも可能です。
ただし、近年多くの企業の間で進められているDXの取り組みでは、クラウドを積極的に用いることが推奨されています。
システムの可用性を担保するために必要な施策は、以下の通りです。
- ・システムをクラウド化する
- ・システムを二重化または多重化させる
- ・BCP(事業継続対策:災害時などのシステム障害への対応)を整備する
- ・UPS(無停電電源装置:予期せぬ停電に対応できる)を設置する
- ・HDDのRAID構成(複数のHDDを一つのドライブのように利用する)を行う
3要素を重要視するISOとIECとは
情報セキュリティの3要素であるCIAを最重視している国際基準として、ISO(国際標準化機構)とIEC(国際電気標準会議)が挙げられます。
ISOとは、品質や環境を含め、情報セキュリティで成し遂げるべき様々な国際基準を定めているものです。
一方、IECは電気及び電子技術に特化した国際基準を定めているものとなります。
代表的な国際基準として知られているISO/IEC27001(JIS Q 27001)には、情報セキュリティにおいて対応すべき様々な項目がまとめられており、その基本的な概念として、先ほどお伝えした情報セキュリティの3要素であるCIAを実践規範として定めています。
参考:一般財団法人日本品質保証機構 ISO/IEC 27001(情報セキュリティ)
情報セキュリティの概念の新しい4要素とは
情報セキュリティの概念で、3要素と合わせて重要視されているのが、ここでご紹介する4要素です。
ここでは、各要素のポイントを解説していきます。
信頼性(Reliability)
信頼性とは、データやシステムが期待通りの結果を出すことができることを指します。
データやシステムは、時にプログラムのバグや何らかの不具合、操作者のヒューマンエラーなどが原因で期待していた成果が得られないケースがあります。
信頼性を担保するための具体的な施策としては、以下の通りです。
- ・操作者のヒューマンエラーが発生しても、データ消失、データ改ざんなどが起きない仕組みづくりをする
- ・システム及び各種ソフトウェアが不具合を起こさない、あるいは起こしてもリカバリーできる仕組みを構築する
- ・不具合の起こらないことを前提としたプログラム設計のもとで構築を実施する
真正性(Authenticity)
真正性とは、データにアクセスする個人・企業・組織・団体・媒体などがアクセス許可された者であるのかどうかを確実にするために必要な要素です。
真正性を担保するために必要な施策として、以下が挙げられます。
- ・アクセス制限
- ・二段階認証
- ・デジタル署名
- ・生体認証などの他要素認証
否認防止(non-repudiation)
否認防止とは、システムが取り扱うデータが後から否定されないように証明をしておくことを意味しています。
例えば、悪意ある個人や組織が情報を不正利用したり、不正に改ざんを行なったりした場合に、本人がそれを後から否認できないように、元のログを取っておくことなどが否認防止の具体的な施策として挙げられます。
責任追跡性(Accountability)
否認防止の施策としても有効なのが、責任追跡性です。
これは、システムを利用して特定の情報やデータを活用した個人及び企業などの動きを追跡することを指します。
これによって、誰のどんな行為が情報セキュリティを担保する上で問題になったのかを追跡してチェックすることができます。
責任追跡性の具体的な施策としては、以下の通りです。
- ・デジタル署名の設定
- ・ログイン履歴や操作履歴の確保
- ・アクセスログの保存
- ・システムログの保存
まとめ | 情報セキュリティの概念を正しく理解しよう
情報セキュリティの概念には、3要素と呼ばれるものと、新しい4要素の合計7つの要素がある旨を詳しくご紹介してまいりました。
これらの概念について正しく理解したうえで、企業の情報セキュリティ対策を是非とも見直してみてください。
ファイル共有・コラボレーションの
サービス説明書
- ファイル共有、コラボレーションにおける課題解決策
- DirectCloudの共有リンク、ゲスト招待、デジタルワークスペース、アクセス制御といった機能の詳細
- DirectCloudと他社サービスの違い、導入実績
ファイル共有・コラボレーションのサービス説明書
- ファイル共有、コラボレーションにおける課題解決策
- DirectCloudの共有リンク、ゲスト招待、デジタルワークスペース、アクセス制御といった機能の詳細
- DirectCloudと他社サービスの違い、導入実績
