2022年9月26日
情報セキュリティの3要素は、「機密性」「完全性」「可用性」です。「機密性」は情報にアクセスできる制限を行うこと。 「完全性」は情報の改ざん等を防止すること。 「可用性」は情報を使いたいときに使える状態にすることです。「機密性」「完全性」「可用性」を理解し、ISMS(ISO27001)運用に落とし込むことが非常に重要になります。
1.機密性、完全性、可用性 とは
ISMS(ISO27001)では機密性、完全性、可用性と呼ばれる3つの要素を保持できる体制構築を求められています。重要な情報の改ざんや滅失、消失、破損を防ぎ、安全に情報を取り扱うための要素になります。
機密性、完全性、可用性の3要素は、英語表記にした際の頭文字を取って「CIA」と呼ばれることが多いです。
機密性:confidentiality
完全性:integrity
可用性:availability
2.機密性:confidentiality とは
機密性とは、情報資産へのアクセスを設定し保護することを指します。
保護することによりセキュリティが向上すると外部からの侵入が難しくなり、情報漏洩や滅失、紛失、破損の可能性を下げることができます。
情報資産の漏洩や滅失、紛失、破損への対策を講じることで機密性を維持できるようにします。
情報の機密性が低ければ漏洩や滅失、紛失、破損などの原因になってしまいます。
■機密性を保持したほうが良い情報とその対策は以下のような情報になります。
・お客様の情報
・リリース前の開発情報
・使用しているサーバなどのパスワード
-対策-
・情報を保存したサーバには、アクセス権を設定しアクセス者を限定する
・パスワードに「123456」などの安易なものを設定しない
・ID、パスワードをメモなどに残さない
・持ち出してよい情報、持ち出してはいけない情報を決めておく
3.完全性:integrity とは
完全性とは、改ざんなどがなく正確な情報が保持されている状態を指します。
完全性が損なわれると、情報の正確性や信頼性がなくなってしまいます。
要するに、情報に間違いがないこと、最新のものであること、欠けていることがないことを維持しようという内容になります。
例ですが、HPが改ざんされるとお客様に間違った情報を提供してしまう恐れがあるほか、HP閲覧者のPCがウイルス感染してしまう場合もあります。
■完全性を保持したほうが良い情報とその対策は以下のような情報になります。
・情報保管しているサーバ
・自社HP
・データ分析システム
-対策-
・アクセス履歴や変更履歴を残し、追跡できるようにする
・すぐに復旧できるようバックアップを取っておく
・ソフトウェアの定期的なアップデート
(古いソフトウェアはセキュリティホールが攻撃されやすいです)
4.可用性:availability とは
可用性とは、情報を使いたいときに使える状態にしておくことを指します。
例ですが、PCやサーバーに保管しているデータが整理、整頓されていない状態でおかれていると、探すまでに時間がかかってしまい、可用性が損なわれていると言えます。
クラウドサービスに保管している情報は24時間365日アクセスができるため可用性が高いと言えますね。
■可用性を保持したほうが良い情報とその対策は以下のような情報になります。
・毎日従業員がアクセスするサーバー
・HDDやUEBメモリ等の外部記憶媒体
・携帯電話、メール
-対策-
・サーバーをクラウド化する
・BCP(事業継続計画)を実施し無停電装置などを導入する
・システム障害が発生した場合の代替ツールを決めておく(メールの代わりにチャットツールなど)
5.CIAのレベルの分け方事例
続いては機密性(C)、完全性(I)、可用性(A)のレベル分けについて説明していきます。
ISMS(ISO27001)を運用していくうえで、資産のリスクアセスメントをすることが求められます。
情報資産はリスクアセスメントでは機密性(C)、完全性(I)、可用性(A)をもとに価値を決定します。
以下のような基準を決め社内の情報資産をレベル分けしている企業が多いです。自分たちが持っている情報は機密性(C)、完全性(I)、可用性(A)のレベルがどこに分類されるか考えてみてはいかがでしょうか。
| 機密性 | 完全性 | 可用性 | |
|---|---|---|---|
| レベル3 | 機密性が高い | 完全性が高い | 可用性が高い |
| レベル2 | 機密性が高いわけでは ないが、低くもない | 完全性が高いわけでは ないが、低くもない | 可用性が高いわけでは ないが、低くもない |
| レベル1 | 機密性が低い | 完全性が低い | 可用性が低い |
6.機密性・完全性・可用性はバランスが大事
機密性(C)、完全性(I)、可用性(A)について説明してきましたが、これら3要素はバランスが非常に重要です。
例えば、機密性を保持するために誰もアクセスできない場所に情報資産を保管してしまうと、可用性が損なわれてしまいます。
可用性を優先するあまり完全性を失ってしまうなんて言うこともあり得ます。
そのため機密性(C)、完全性(I)、可用性(A)3つの要素をバランスよくリスクアセスメントすることが非常に大切になります。そのほかにも社会的影響度や経済的影響度などを考慮に入れることも重要です。
7.情報セキュリティの概念の新しい4要素
近頃では機密性(C)、完全性(I)、可用性(A)に新たに4つの新要素が重要視されています。
4つの新要素とは、
真正性 :Authenticity
信頼性 :Reliability
責任追跡性:Accountability
否認防止 :non-repudiation
です。
真正性(Authenticity)
情報にアクセスする企業や個人にアクセス権限があることを確実にすることです。意図していない人にアクセス権限を付与しないようにすることが重要です。
信頼性(Reliability)
データやシステムを利用した際、ヒューマンエラーやプログラムの不具合(バグなど)がなく、意図した動きをすることです。
責任追跡性(Accountability)
企業や個人の動きを追跡することです。情報へ不正アクセスなどの脅威があった場合、何による攻撃で誰のどのような行為が原因なのかを追える状態にすることです。
否認防止(non-repudiation)
情報が後になって否定されないように証明しておくことです。
情報の改ざんや情報を利用した際、事後になって否認できないようにすることです。
システムのログ取得を取る対応などが否認防止対策になります
まとめ
機密性・完全性・可用性とは重要な情報の改ざんや滅失、消失、破損を防ぎ、安全に情報を取り扱うための要素になります。
また、それぞれのバランスが非常に重要で可用性を優先すると機密性が損なわれるケースも多いので社会的影響度や経済的影響度などを考慮に入れてみましょう。
機密性・完全性・可用性のほかに概念の新しい4要素も重要視されており真正性、信頼性、責任追跡性、否認防止の観点もISMS運用に必要な要素です。
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ