１．情報セキュリティの3要素「機密性」「完全性」「可用性」とは

ISMS（ISO27001）では機密性、完全性、可用性と呼ばれる3つの要素を保持できる体制構築を求められています。重要な情報の改ざんや滅失、消失、破損を防ぎ、安全に情報を取り扱うための要素になります。
機密性、完全性、可用性の３要素は、英語表記にした際の頭文字を取って「CIA」と呼ばれることが多いです。

機密性：confidentiality
完全性：integrity
可用性：availability

 

２．機密性：confidentiality とは

機密性とは、情報が正当な権限を持つ者以外の者に漏れることなく保護されることを指します。
機密性は、認証やアクセス制御、暗号化などの技術を使用して実現されることが一般的です。

保護することによりセキュリティが向上すると外部からの侵入が難しくなり、情報漏洩や滅失、紛失、破損の可能性を下げることができます。

 

（１）機密性を保持したほうが良い情報資産

① 個人情報
顧客や従業員の個人情報、住所、電話番号、メールアドレスなど、個人を特定できる情報はプライバシーの観点から保護が必要です。

② 企業秘密
研究開発や技術情報、ビジネス戦略、新製品やサービスの情報など、競争力に関わる情報は企業秘密として保護されるべきです。

③ 契約情報
取引先やパートナー企業との契約書や、商談中の案件情報など、契約関連の情報は機密性が求められることがあります。

④ 財務情報
会計データ、予算や業績予測、資金調達計画など、組織の財務状況に関わる情報は機密性を保持すべきです。

⑤ 法的・規制上の情報
法的な文書、訴訟情報、監査報告書など、法的・規制上の要求に関連する情報も保護対象となります。

⑥ セキュリティ情報
ネットワーク構成図、システムの脆弱性情報、パスワードなど、情報セキュリティに関わる情報は機密性が重要です。

 

（２）具体的な対策

① アクセス制御
情報へのアクセス権限を、必要最低限の権限を持つ者に限定し、不正アクセスや情報漏洩を防ぎます。
アクセス制御リスト（ACL）を適用し、特定のユーザーやグループにのみアクセスを許可します。

② 暗号化
データの転送や保存時に暗号化技術を適用し、不正アクセスや漏洩が発生しても情報が読み取られないようにします。
デバイスの全体暗号化やファイル暗号化など、適切な暗号化手法を採用すべきです。

③ データ分類
情報資産を機密性レベルごとに分類し、それぞれのレベルに応じた保護措置を適用します。
データ分類ポリシーを策定し、従業員に周知徹底しましょう。

④ セキュリティ教育・トレーニング
従業員に対して情報セキュリティに関する教育やトレーニングを実施し、意識を高めることが大切です。
定期的にリフレッシャートレーニングを行い、セキュリティ対策の継続的な向上を図りましょう。

⑤ 物理的セキュリティ
セキュリティ対策が施された施設や部屋に情報資産を保管し、不正アクセスや盗難を防ぎます。
セキュリティカメラやアクセスカードなどの物理的セキュリティ手段を導入するとよいでしょう。

⑥ セキュリティポリシー・手順書の策定
組織全体で情報セキュリティポリシーを策定し、具体的な手順やルールを定めます。
ポリシーの定期的な見直しや改善を行い、セキュリティ状況を適応させるとよいでしょう。

⑦セキュリティ監査・評価
定期的なセキュリティ監査や評価を実施し、情報セキュリティ対策の効果を検証します。監査を定期的に実施しましょう。

３．完全性：integrity とは

完全性とは、情報が正確かつ一貫性を持って保持・伝達されている状態を指します。
これにより、データが誤って変更されたり、不正な方法で改ざんされたりすることを防止します。
完全性が損なわれると、情報の正確性や信頼性がなくなってしまいます。

要するに、情報に間違いがないこと、最新のものであること、欠けていることがないことを維持しようという内容になります。

例えば給与計算を例にすると、完全性が保たれていない場合、次のような問題が起こる可能性があります。

・誤った給与額
社員の勤務時間や残業時間が正確に記録されていないと、給与が過不足することがあります。
これは、社員のモチベーションや生活負担に影響を与え、組織全体の生産性に悪影響を及ぼす可能性があります。

・法律違反
法律に定められた最低賃金や労働時間の上限などを守れない状況が発生する可能性があります。
これは、企業に罰則が課せられるだけでなく、企業の評判も低下させることになります。

 

（１）完全性を保持したほうが良い情報資産

① 金融情報
銀行口座情報、クレジットカード情報、決済履歴など、金融取引に関する情報は、誤った変更や改ざんが大きな損失につながるため、完全性が重要です。

② 顧客情報
顧客の個人情報、取引履歴、契約内容など、顧客に関する情報は、信頼関係を維持するためにも正確性が求められます。

③ 社員情報
社員の個人情報、勤怠管理、給与情報など、従業員に関する情報の完全性が求められます。

④ 製品・サービス情報
製品やサービスの仕様、価格、在庫情報など、ビジネス運営に直接関わる情報は、正確であることが重要です。

⑤ 法律・規制に関する情報
法律や規制に関する情報、コンプライアンスに関する情報は、適切な運用のために完全性が求められます。

⑥ 知的財産
特許、著作権、商標権などの知的財産情報は、企業の競争力に直結するため、完全性が重要です。

⑦ 会計・財務情報
会計帳簿、財務報告書、予算などの会計・財務情報は、企業経営に影響を与えるため、正確性が求められます。

 

（２）具体的な対策

① アクセス制御
情報へのアクセス権限を適切に管理し、不正な変更や改ざんを防止します。

② データバックアップ
定期的にデータのバックアップを行い、データが破損した場合でも正確な情報を復元できるようにします。

③ チェックサムやハッシュ関数
データの完全性を確認するために、チェックサムやハッシュ関数を使用してデータの一貫性を検証します。

④ データ入力・編集の検証
データが正確に入力・編集されるように、入力フォームにバリデーションを設定したり、データの変更履歴を追跡・監査することで完全性を保ちます。

 

４．可用性：availability とは

可用性とは、情報システムが適切なタイミングで適切な人物によってアクセスされ、必要なリソースが適切に提供されることを指します。

可用性が確保されているとは、以下のような状況を指します。
① システムのダウンタイムが最小限に抑えられている。
② システムが適切なパフォーマンスで動作している。
③ データが適切なタイミングでアクセス可能である。
④ ネットワークやサービスが正常に機能している。
⑤ 災害や障害に対するリカバリプランが整備されている。

例えば、共有ドライブやクラウドストレージの場合
社内で共有されるファイルやドキュメントが保存されている共有ドライブやクラウドストレージが、障害やパフォーマンスの低下なくアクセスできる状態を維持することが求められます。

 

（１）可用性を保持したほうが良い情報資産

① 顧客データベース
顧客情報や取引履歴など、顧客に関する重要な情報を含むデータベースは、営業やカスタマーサポートなど、企業活動において重要な役割を果たします。

② 財務情報
会社の財務状況や経営指標など、企業経営に関わる重要な情報は、意思決定や戦略策定において重要な役割を果たします。

③ 社内文書
社内の業務フローや手続きに関するマニュアル、契約書や報告書など、業務遂行に必要な文書は、スムーズな業務遂行やコンプライアンスの確保に必要です。

④ システムやアプリケーション
社内の業務システムやアプリケーションは、効率的な業務遂行や情報共有のために必要です。これらのシステムやアプリケーションが正常に稼働し、適切な人物がアクセスできることが重要です。

⑤ 電子メール
社内外のコミュニケーションにおいて、電子メールは欠かせない情報資産です。メールの送受信がスムーズに行われ、適切な人物がアクセスできることが重要です。

 

（２）具体的な対策

① 冗長化
サーバーやネットワーク機器の冗長化を行うとよいでしょう。
冗長化とは、障害が発生した際にもシステムが継続して動作するように予備の設備やシステムを平常時のうちから動作させておくことです。

② バックアップ
データやシステムのバックアップを定期的に実施し、障害やデータ損失が発生した際に迅速に復旧できるようにします。

③ メンテナンス
システムやネットワークの定期的なメンテナンスを行い、パフォーマンスの低下や障害の発生を未然に防ぎます。

④ 監視
システムやネットワークの状況をリアルタイムで監視し、異常が発生した場合に速やかに対処します。

 

５．CIAのレベルの分け方事例

続いては機密性（C）、完全性（I）、可用性（A）のレベル分けについて説明していきます。
ISMS（ISO27001）を運用していくうえで、資産のリスクアセスメントをすることが求められます。
情報資産はリスクアセスメントでは機密性（C）、完全性（I）、可用性（A）をもとに価値を決定します。

以下のような基準を決め社内の情報資産をレベル分けしている企業が多いです。自分たちが持っている情報は機密性（C）、完全性（I）、可用性（A）のレベルがどこに分類されるか考えてみてはいかがでしょうか。

	機密性	完全性	可用性
レベル３	機密性が高い	完全性が高い	可用性が高い
レベル２	機密性が高いわけでは ないが、低くもない	完全性が高いわけでは ないが、低くもない	可用性が高いわけでは ないが、低くもない
レベル１	機密性が低い	完全性が低い	可用性が低い

 

６．CIAをどう事業に活かすか

では、機密性（C）、完全性（I）、可用性（A）はどのようにして事業に活かすことができるでしょうか。
CIAを適切に保つことで、業務の質や効率を向上させるという視点を持つことが大切です。

機密性（Confidentiality）:
社内で扱う顧客情報や企業秘密など、機密性が高い情報資産に対してアクセス制限を設けることで、不正なアクセスや情報漏えいのリスクを軽減できます。

社内外で情報をやり取りする際には、暗号化技術を活用することで、情報が第三者に漏れるリスクを低減できます。

 

完全性（Integrity）:
データの改ざんや破損を防ぐため、データの入力・編集・削除に関する権限を適切に設定し、不正な操作によるデータの完全性低下を防ぎます。

データのバックアップを定期的に行い、万が一の際にもデータが正確かつ完全な状態で復元できるようにします。

 

可用性（Availability）:
サーバーやネットワークの適切な運用・管理を行い、業務に必要な情報システムやサービスが適切なタイミングでアクセスできる状態を維持します。

災害対策や冗長化を計画し、システム障害や自然災害が発生した場合でも、業務が継続できるようにすることで可用性を向上させます。

 

 

７．機密性・完全性・可用性はバランスが大事

機密性（C）、完全性（I）、可用性（A）について説明してきましたが、これら3要素はバランスが非常に重要です。

例えば、機密性に偏った対策を行うと、情報アクセスが制限されすぎて可用性が低下することがあります。また、完全性に重点を置きすぎると、過剰な情報管理が求められ、業務効率が低下する可能性があります。
適切なバランスを保ちながらCIAを活かすことで、情報資産を効果的に保護し、事業の安定性や信頼性を向上させることができます。

そのため、機密性（C）、完全性（I）、可用性（A）3つの要素をバランスよくリスクアセスメントすることが非常に大切になります。そのほかにも社会的影響度や経済的影響度などを考慮に入れることも重要です。

 

８．情報セキュリティの概念の新しい４要素

近頃では機密性（C）、完全性（I）、可用性（A）に新たに4つの新要素が重要視されています。
４つの新要素とは、
真正性　　　：Authenticity
信頼性　　　：Reliability
責任追跡性：Accountability
否認防止　 ：non-repudiation
です。

真正性（Authenticity）
情報にアクセスする企業や個人にアクセス権限があることを確実にすることです。意図していない人にアクセス権限を付与しないようにすることが重要です。

信頼性（Reliability）
データやシステムを利用した際、ヒューマンエラーやプログラムの不具合（バグなど）がなく、意図した動きをすることです。

責任追跡性（Accountability）
企業や個人の動きを追跡することです。情報へ不正アクセスなどの脅威があった場合、何による攻撃で誰のどのような行為が原因なのかを追える状態にすることです。

否認防止（non-repudiation）
情報が後になって否定されないように証明しておくことです。
情報の改ざんや情報を利用した際、事後になって否認できないようにすることです。
システムのログ取得を取る対応などが否認防止対策になります。

 

まとめ

機密性・完全性・可用性とは重要な情報の改ざんや滅失、消失、破損を防ぎ、安全に情報を取り扱うための要素になります。

また、それぞれのバランスが非常に重要で可用性を優先すると機密性が損なわれるケースも多いので社会的影響度や経済的影響度などを考慮に入れてみましょう。