情シス担当者は知っておきたい!情報セキュリティの概念で重要となる3要素と新しい4要素とは?

情報セキュリティの概念には、3要素と呼ばれるものと、新しい4要素の合計7つの要素があることをご存知でしょうか。今回は、これらの要素についての基礎知識をお伝えしていきます。
情報セキュリティの概念で重要となる3要素とは
ここでは、情報セキュリティの概念で重要となる3要素とは何か、詳しくご説明していきます。なお、情報セキュリティの3要素である「機密性(confidentiality)」「完全性(integrity)」「可用性(availability)」は、3つの用語を英語表記したときの頭文字を取って「CIA」と呼ばれています。
機密性(confidentiality)
機密性とは、許可されていない利用者がパソコンやデータベースにアクセスできないように仕組みを作り、許可された利用者のみが必要な情報にアクセスできるようにすることを指します。
例えば、社員や顧客の個人情報、企業内で使用している各種システムにアクセスするためのパスワードやID、新製品の開発情報などの社内機密情報などが、機密性を担保すべき情報であると言えます。
機密性を担保するための具体的な対策としては、以下が挙げられます。
- ・IDやパスワードなどが漏洩しないように外部へ持ち出さない
- ・デスクのメモや付箋などの目につきやすい場所にIDやパスワードを書き置かない
- ・IDやパスワードを持つ担当者を限定し、アクセス権限を管理する
- ・パスワードを複雑化してパスワードを使いまわさない
- ・情報が保存されたHDDなどはデータセンターなどの万全なセキュリティ環境に保管する
完全性(integrity)
完全性とは、改ざんされることなく、過不足のない正確なデータが保持されている状態のことを意味しています。情報の完全性が失われてしまった場合、データそのものの信頼性が揺らぎ、適切に利用できるか疑わしい価値の低いデータとなってしまいます。
もし、企業の情報の完全性がなければ、その企業自体はもちろんのこと、取引先や顧客などにも多大な損失をもたらす可能性があるため、非常に大きなリスクとなります。
例えば、IoT(インターネット・オブ・シングス)が定着しつつある社会の中でデータの完全性が失われた場合、自動運転や医療システムの混乱などにより、場合によっては命に関わる大きな被害が出てしまう危険性もあり得ます。
情報の完全性を担保するための具体的な対策としては、以下が挙げられます。
- ・データバックアップなどの情報管理に関するルールを徹底する
- ・データを変更した場合には変更履歴を必ず残すようにする
- ・データに誰がアクセスしたのか把握できるように履歴を残す
- ・データには識別できるようにデジタル署名をつける
可用性(availability)
可用性とは、データが必要な時にいつでも情報にアクセスすることができ、使用することができる状態を保つことを意味しています。そのため、一定の目的を達成するまでのデータ処理やアクセスが中断されることのない、稼働し続けることができるシステムは、可用性が高いと言えるでしょう。
なお、システムの可用性を担保するのはオンプレミス(システム使用者の会社内や施設内で機器を設置・管理すること)でも可能です。ただし、近年多くの企業の間で進められているデジタルトランスフォーメーションの取り組みでは、クラウドを積極的に用いることが推奨されています。
システムの可用性を担保するために必要な施策は、以下の通りです。
- ・システムをクラウド化する
- ・システムを二重化または多重化させる
- ・BCP(事業継続対策:災害時などのシステム障害への対応)を整備する
- ・UPS(無停電電源装置:予期せぬ停電に対応できる)を設置する
- ・HDDのRAID構成(複数のHDDを一つのドライブのように利用する)を行う
3要素を重要視するISOとIECとは
情報セキュリティの3要素であるCIAを最重視している国際基準として、ISO(国際標準化機構)とIEC(国際電気標準会議)が挙げられます。
ISOとは、品質や環境を含め、情報セキュリティで成し遂げるべき様々な国際基準を定めているものです。一方、IECは電気及び電子技術に特化した国際基準を定めているものとなります。
代表的な国際基準として知られているISO/IEC27001(JIS Q 27001)には、情報セキュリティにおいて対応すべき様々な項目がまとめられており、その基本的な概念として、先ほどお伝えした情報セキュリティの3要素であるCIAを実践規範として定めています。
情報セキュリティの概念の新しい4要素とは
情報セキュリティの概念で、3要素と合わせて新しく重要視されているのが、ここでご紹介する4要素です。
信頼性(Reliability)
信頼性とは、データやシステムが期待通りの結果を出すことができることを指します。データやシステムは、時にプログラムのバグや何らかの不具合、操作者のヒューマンエラーなどが原因で期待していた成果が得られないケースがあります。
信頼性を担保するための具体的な施策としては、以下の通りです。
- ・操作者のヒューマンエラーが発生しても、データ消失、データ改ざんなどが起きない仕組みづくりをする
- ・システム及び各種ソフトウェアが不具合を起こさない、あるいは起こしてもリカバリーできる仕組みを構築する
- ・不具合の起こらないことを前提としたプログラム設計のもとで構築を実施する
真正性(Authenticity)
真正性とは、データにアクセスする個人・企業・組織・団体・媒体などがアクセス許可された者であるのかどうかを確実にするために必要な要素です。
真正性を担保するために必要な施策として、以下が挙げられます。
- ・アクセス制限
- ・二段階認証
- ・デジタル署名
- ・生体認証などの他要素認証
否認防止(non-repudiation)
否認防止とは、システムが取り扱うデータが後から否定されないように証明をしておくことを意味しています。
例えば、悪意ある個人や組織が情報を不正利用したり、不正に改ざんを行なったりした場合に、本人がそれを後から否認できないように、元のログを取っておくことなどが否認防止の具体的な施策として挙げられます。
責任追跡性(Accountability)
否認防止の施策としても有効なのが、責任追跡性です。これは、システムを利用して特定の情報やデータを活用した個人及び企業などの動きを追跡することを指します。
これによって、誰のどんな行為が情報セキュリティを担保する上で問題になったのかを追跡してチェックすることができます。
責任追跡性の具体的な施策としては、以下の通りです。
- ・デジタル署名の設定
- ・ログイン履歴や操作履歴の確保
- ・アクセスログの保存
- ・システムログの保存
情報セキュリティの概念を正しく理解しよう
情報セキュリティの概念には、3要素と呼ばれるものと、新しい4要素の合計7つの要素がある旨を詳しくご紹介してまいりました。これらの概念について正しく理解した上で、企業の情報セキュリティ対策を是非とも見直してみてください。

情報漏えいリスクに効く、
セキュリティ対策ツールは?
- 個人情報や機密情報を取り扱う企業様におすすめの「DirectCloud-SHIELD」。
DirectCloudのオプションとして利用することで、情報漏えいの防止に効果を発揮します。
社内のセキュリティに不安を感じたら…
顧客情報の管理や社内資料の取り扱い、外部とのやりとりやファイル共有など情報管理に不安を感じたらDirectCloud-SHIELDもご検討ください。企業に求められる機密情報管理とは?リアルタイム監視や暗号化、セキュリティレベルの設定、リモート削除などDirectCloud-SHIELDの主な機能を紹介します。