ISMS審査合格率100%
0120-068-268
お電話受付:平日9:30〜17:00
お電話
ISMSマークアシスト ISMSマークアシスト

お問合せボタン

お問合せは
こちらから

見積依頼は
こちらから

ISMS(ISO27001) 認証・更新

3要素だけでは不十分?「情報セキュリティの7要素」でリスクを徹底排除!

2025年7月8日

3要素だけでは不十分?「情報セキュリティの7要素」でリスクを徹底排除!

目次

Close

情報セキュリティの7要素…うちの会社ではちゃんと対策できているのかな?」

「そもそも3要素と7要素の違いを詳しく知らない…」

会社のセキュリティ対策をお考えの方で、そんな不安はありませんか?

実は、情報セキュリティの3要素よりも、更に幅広く情報セキュリティ対策をするために定義されたのが「情報セキュリティの7要素」です。

この7要素は、AI・SaaSなどのクラウドサービスが当たり前になりつつある今、「信頼できる情報」を安全に管理し続けるために非常に重要な指針となります。

この記事を読み終えることで、あなたは情報セキュリティの7要素を深く理解し、自社の情報資産を守るための具体的な行動計画を立てられるようになるでしょう。

1.情報セキュリティの7要素は、情報を安全に管理する『側面』のこと

情報セキュリティの7要素とは、信頼できる情報を安全に管理し続ける対策を考える上での、『側面』となるものです。

これは、企業が大切な情報資産を守り、リスクを生み出さないための基礎となります。

具体的には、企業の情報を外部から守ること、正しい情報であること、いつ誰が操作したか分かること、そして常に正しく動き続けることができるようにすることが要素として入っています。

この7要素が示す概念を理解することで、漏れなく実効性のある情報セキュリティ対策を立案し、社内全体で取り組みを進める上での確かな土台となります。

2.「3要素」と「7要素」の違い

現在、情報セキュリティの基礎としてある「3要素」から、新たに4つの要素の重要性が認識されはじめています。それが「7要素」です。

7要素は、AIやクラウドの活用、テレワークの広がりなど、働き方や技術が大きく変化し、もっと広い視点が必要になってきたため追加されました。

「3要素(CIAとも呼ばれる)」は、以下の3つです。

  • 機密性
  • 完全性
  • 可用性

そして「7要素」は、以下が新しく加えられました。

  • 真正性
  • 責任追跡性
  • 否認防止
  • 信頼性

両者の違いは、目的と考慮する範囲にあります。

3要素7要素
目的情報そのものの直接的な保護情報の全体的な信頼性の確保
考慮する範囲情報の保護のみ情報の取り扱い全体と
その背景も含めた広範囲

 

3要素は、情報そのものを直接的に保護することに重点を置いた、シンプルで分かりやすい基本的な枠組みです。情報セキュリティマネジメントシステムの規格であるISMSでも必須の項目となっています。

7要素は、単に情報を守るだけでなく、情報の発信源や操作の確かさ、そして情報を取り扱うシステム全体の安定性といった、「情報がどのように生まれ、扱われ、使われるか」というプロセス全体における信頼性までを考慮に入れた、より現代的で包括的な考え方です。

簡潔に言えば、3要素が「基本的な情報保護」を示すのに対し、7要素は進化するデジタル社会における「情報やシステムがビジネスにおいてどれだけ信用できるか」という側面まで含めた、より広範な指針と言えます。

今後のISMSの改訂でも、この「7要素」の概念は反映される可能性があるでしょう。

3.7要素の詳しい内容

7要素を簡単にまとめると、以下のようなことが求められています。

機密性
許可された人だけが情報を見られるようにしておくこと
完全性
情報が正しく、勝手に書き換えられたり消されたりしていないこと
可用性
システムやサービスが「使いたいときに問題なく使える状態にあること
真正性
その情報が本物で、正しい発信者から出されたものだとわかること
責任追跡性
誰が、いつ、どんな操作をしたかを記録して、あとから確認できるようにしておくこと
否認防止
やったことを、後からやっていないと言い逃れできないようにすること
信頼性
システムや情報が、いつも正しく動いて安心して使えること

それぞれ、詳しくみていきましょう。

(1)機密性(Confidentiality)

機密性(きみつせい)とは、「許可された人だけが情報を見られるようにしておくこと」です。

たとえば、企業の内部情報が関係のない第三者の目に触れてしまうと、競合に機密が漏れ、取引先との信頼関係が壊れたりすることもあります。

この情報とは、具体的には社員の給与や人事情報、顧客の個人情報、開発中の新製品に関するデータなどが当てはまります。

こうした情報は、必要な人だけが扱えるように以下のような工夫が必要です。

  • アクセス制限を設ける
  • パスワードを設定する
  • ファイルを暗号化する

つまり、機密性は「ヒミツをちゃんとヒミツにしておく」ためのルールです。日々の業務の中でも常に意識しておくことが大事です。

また、機密性については以下の記事で詳しく解説をしています。

あわせて読みたい記事
機密性とは何か?企業が誤解しやすい定義と守るための具体的な施策4選

機密性とは何か?企業が誤解しやすい定義と守るための具体的な施策4選

「機密性ってどういう意味?」「どうすれば情報を安全に守れるの?」 そんな悩みをお持ちではありませんか? 結論からお伝えしますと、機密性とは「必要な人だけが情報にアクセスできるようにすること」で、そのた…

(2)完全性(Integrity)

完全性(かんぜんせい)とは、「情報が正しく、勝手に書き換えられたり消されたりしていないこと」を指します。

たとえば、製造記録がこっそり書き換えられたとなると、不良品が出荷され、リコール(回収)や損害賠償のリスクにつながります。

このような状況を防ぐために、正しい情報をそのままの形で保つ工夫が必要です。

  • ログを自動で保存するシステムを導入する
  • ファイルのバージョン管理を行う
  • 重要なデータの変更には、ダブルチェックを入れる

つまり、完全性は「いつ見ても、間違っていない安心できる情報であること」を守るための考え方です。

データを保存するだけでなく、正しい内容のまま使えることがポイントになります。

完全性については以下の記事で詳しく解説をしています。

あわせて読みたい記事
完全性とは?失われる3つの原因と今日から始められる8つの対策

完全性とは?失われる3つの原因と今日から始められる8つの対策

「完全性って何?」「どうすれば守れるのだろう?」 そんな悩みを抱えていませんか。 たとえば、会社の大切な情報を誰かがこっそりデータを書きかえたり、知らないうちに間違った情報が入ってしまったら困りますよ…

(3)可用性(Availability)

可用性(かようせい)とは、システムやサービスが「使いたいときに問題なく使える状態にあること」を意味します。

たとえば、スマートフォンで地図アプリを使おうとしたときに、アプリがうまく起動せず開けなかったら、不便に感じますよね。

必要なときに使えないサービスは、利用者にとって大きなストレスになります。

どんな状況でも安定して使えるアプリやシステムにするために、以下のような工夫が必要です。

  • 情報セキュリティに関する責任者を明確にする
  • ハードウェアを冗長化させる
  • 定期的な障害対応訓練を実施する

つまり、可用性とは「いつでも正しく使える安心感」を与えるための考え方です。

なお、可用性については以下の記事で詳しく解説をしています。

あわせて読みたい記事
可用性とは?初心者向けにわかりやすく解説【完全ガイド】

可用性とは?初心者向けにわかりやすく解説【完全ガイド】

「可用性って何?」「どうすればシステムが安定して使えるの?」 そんな悩みを抱えていませんか? 結論からお伝えすると、可用性とは「いつでも使える状態を保つこと」であり、そのためには仕組みづくりと日々の管…

(4)真正性(Authenticity)

真正性(しんせいせい)とは、「その情報が本物で、正しい発信者から出されたものだとわかること」を意味します。

最近ニュースで話題になった、証券会社の不正ログインや株の不正購入をご存じでしょうか?

これは、証券会社に見せかけた「なりすましメール」を使い、利用者のIDやパスワードをだまし取る手口が使われました。

こういった「なりすまし」や「偽の情報」を防ぐためには、情報の発信側・受け取り側と共に対策を取ることが重要です。

  • 二要素認証の必須化にする
  • フィッシングメールの自動検知を設定する
  • 不審ログイン通知の即時配信を設定する

つまり、真正性は「この情報は信じていいのか?」を見極めるための大切な考え方です。

真正性について、詳しく知りたい方は以下の記事を参考にしてみてください。

あわせて読みたい記事
真正性とは?組織が直面する3つのリスクと管理職層別の対策を徹底解説

真正性とは?組織が直面する3つのリスクと管理職層別の対策を徹底解説

「真正性(しんせいせい)とは、どういう意味だろう?」 「どうすれば守れるのだろうか?」 このような悩みをお持ちではないでしょうか。 真正性とは「情報が正しい相手から送られてきて、途中で書き換えられてい…

(5)責任追跡性(Accountability)

責任追跡性(せきにんついせきせい)とは、「誰が、いつ、どんな操作をしたかを記録して、あとから確認できるようにしておくこと」です。

ヒューマンエラーや不正操作は、どんな現場でも起こり得ます。

たとえば、受注システムで担当者が誤って「2000個」と入力してしまったり、クラウド上の文書を誤って削除してしまうこともあるでしょう。

こうしたとき、「どの操作が、誰によって、いつ行われたか」がすぐに分かれば、対応も早くなり、再発防止にもつながります。

  • 個人ごとのアカウントを作り、ユーザー単位で操作を記録する
  • 操作ログは記録するだけでなく、定期的に見直し・監査を行う
  • ログの存在を社内に周知することで、自然と不正や不注意な操作を防止する

つまり、責任追跡性は「あとから確認できる仕組み」のことです。

万が一のときにも落ち着いて対応できますし、会社や顧客からの信頼を守ることにもつながります。

(6)否認防止(Non-repudiation)

否認防止(ひにんぼうし)とは、「やったことを、後からやっていないと言い逃れできないようにすること」を意味します。

たとえば、営業担当者が取引先に送ったはずの見積書に関して「送った・送っていない」でトラブルになったとします。

このとき、「誰が、いつ、そのファイルを作成・送信したのか」がきちんと記録されていれば、曖昧な言い逃れは通用しません。

このような仕組みは、とくに電子契約や社外との取引において重要です。

記録がないと、責任の所在が不明確になり、後のクレームや訴訟の原因になることもあります。

以下のような否認防止の対策をしましょう。

  • 電子署名(ネット上でのハンコのようなもの)を導入する
  • PDFなどのファイルにタイムスタンプ(いつの記録かを示す仕組み)を設定する
  • ワークフローシステムでの承認記録を導入する

つまり、否認防止とは「確かに本人がやった」と証明できるようにすることです。

口頭ではなく、形に残るものにすることが大切です。

(7)信頼性(Reliability)

信頼性(しんらいせい)とは、「システムや情報が、いつも正しく動いて安心して使えること」を意味します。

たとえば、給料の計算や取引データの集計で使っているシステムが、ある日突然止まったり、間違った数字を出してきたらどうでしょう?

業務が止まってしまったり、間違ったお金が支払われてしまったりして、大きなトラブルになるかもしれません。

だからこそ、「いつでもきちんと動いて、正しい結果を出してくれること」がとても大切なのです。

そのためには、以下のような対策が必要です。

  • システムの定期点検・メンテナンスを実施する
  • バックアップを定期的に取得・保管する
  • テスト環境での更新確認や動作検証を行う

信頼性は、ただ動いているだけでなく、「正しく動き続ける」ことに意味があるという考え方です。

3.7要素を活用して情報リスクを洗い出そう

情報セキュリティのリスクを洗い出すには、「7要素」の視点を使うと効果的です。

視点が増えることでリスクが整理しやすくなるからです。

情報セキュリティを高めるためには、従来の3要素(機密性・完全性・可用性)だけでは、AIや詐欺が多い今の時代には不十分なこともあります。

例として、「顧客情報データベース」に対するリスクチェック項目を、従来の3要素の視点と、7要素の視点で比較してみましょう。

【3要素によるチェック項目】

機密性
従業員による顧客情報の不正持ち出しができる様になっていないか
完全性
誤操作や不正な操作による顧客データの改ざんができる状態になっていないか
可用性
サーバーダウンにより、データベースへのアクセスが不可になってしまわないか

【7要素によるチェック項目】

真正性
不正な端末からのアクセスできる状態になっていないか
責任追跡性
不正アクセスや情報改ざんが発生した際に、ログの情報が不足していないか
否認防止
個人情報の取得・利用について、同意時のログを記録しているか
信頼性
特定の条件下でデータが破損したり、誤った処理結果を出力していないか

このように、7要素を取り入れることで新たなリスクを見つけることができます。

将来的にISMSで7要素が求められる可能性もありますので、今のうちから取り入れて情報セキュリティの向上に役立てましょう。

ISMSのリスク洗い出しである「情報資産管理台帳」については、こちらの記事をご覧ください。サンプル付きで説明しております。

あわせて読みたい記事
情報セキュリティ管理を効率的に進める4つの方法

情報セキュリティ管理を効率的に進める4つの方法

情報セキュリティ管理は、基本でありながら、その重要性は非常に高いものです。 なぜなら、情報セキュリティ管理がずさんな場合、情報漏洩やサイバー攻撃といったセキュリティインシデントにより組織は甚大な被害を…

4.まとめ

情報セキュリティの7要素とは、信頼できる情報を安全に管理し続けるために、対策を考える上での「基準」となるものです。

働き方や技術が大きく変化しており、もっと広い視点での安全性が必要になったため、3要素から更に4要素が追加されました。

追加されたのは以下の4要素です。

  • 真正性
  • 責任追跡性
  • 否認防止
  • 信頼性

3要素が「基本的な情報保護」を示すのに対し、7要素は「情報やシステムがビジネスにおいてどれだけ信用できるか」という側面まで含めたものです。

ISMSでも現在は3要素が基本ですが、今後の改訂で7要素になる可能性が大いにあります。

視点が増えることでリスクが整理しやすくなるため、7要素を活用して情報リスクを洗い出しましょう。

ISO/Pマークの認証・運用更新を180時間も削減
認証率100%の認証パートナーが無料問い合わせを受付中!

作業時間を削減

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)
  • マニュアルの作成・見直し:30時間→0.5時間
  • 内部監査の計画・実施:20時間→2時間
  • 審査資料の準備:20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する

\あわせて読みたい記事/

  • 情報セキュリティ管理を効率的に進める4つの方法

    2025年6月12日

    情報セキュリティ管理を効率的に進める4つの方法

    情報セキュリティ管理は、基本でありながら、その重要性は非常に高いものです。 なぜなら、情報セキュリティ管理がずさんな場合、情報漏洩やサイバー攻撃といったセキュリティインシデントにより組織は甚大な被害を受ける可能性があり、 […]

  • トロイの木馬とは何か?知っておくべき特徴と7つの代表的な種類

    2025年7月22日

    トロイの木馬とは何か?知っておくべき特徴と7つの代表的な種類

    「トロイの木馬って、なんとなく聞いたことはあるけれど、実際にどんなものなのかわからない」 トロイの木馬とは、一見安全そうに見せかけて、実は中に悪意のあるプログラムをひそませたマルウェアの一種です。 見た目が普通のファイル […]

  • 情報資産とは?管理が必要な理由と具体的な方法までわかりやすく解説

    2025年5月13日

    情報資産とは?管理が必要な理由と具体的な方法までわかりやすく解説

    「情報資産って、そもそも何だろう?」 「どうやって管理すればいいのだろうか?」 情報資産とは、「企業や組織が持っている大切な情報と保存しているもの」のことです。 このような情報や媒体などをきちんと管理しないと、情報が外に […]

一覧へ戻る

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

0120-068-268
お電話受付:平日9:30〜17:00

一目でわかる
認証パートナーのサービスご説明資料

役立つ資料をお届け
資料ダウンロード

8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。

資料の内容

  • ・一目でわかる『費用』
  • ・一目でわかる『取得スケジュール』
  • ・一目でわかる『サポート内容』

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。