ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

機密性・完全性・可用性を徹底解説!実例から考え方を学ぶ【入門】

スタッフ写真
スタッフ写真

2022年9月26日

機密性・完全性・可用性を徹底解説!実例から考え方を学ぶ【入門】

情報セキュリティの3要素は、「機密性」「完全性」「可用性」です。「機密性」は情報にアクセスできる制限を行うこと。 「完全性」は情報の改ざん等を防止すること。 「可用性」は情報を使いたいときに使える状態にすることです。「機密性」「完全性」「可用性」を理解し、ISMS(ISO27001)運用に落とし込むことが非常に重要になります。

1.機密性、完全性、可用性 とは

ISMS(ISO27001)では機密性、完全性、可用性と呼ばれる3つの要素を保持できる体制構築を求められています。重要な情報の改ざんや滅失、消失、破損を防ぎ、安全に情報を取り扱うための要素になります。

機密性、完全性、可用性の3要素は、英語表記にした際の頭文字を取って「CIA」と呼ばれることが多いです。

機密性:confidentiality
完全性:integrity
可用性:availability

 

2.機密性:confidentiality とは

機密性とは、情報資産へのアクセスを設定し保護することを指します。
保護することによりセキュリティが向上すると外部からの侵入が難しくなり、情報漏洩や滅失、紛失、破損の可能性を下げることができます。

情報資産の漏洩や滅失、紛失、破損への対策を講じることで機密性を維持できるようにします。
情報の機密性が低ければ漏洩や滅失、紛失、破損などの原因になってしまいます。

■機密性を保持したほうが良い情報とその対策は以下のような情報になります。
・お客様の情報
・リリース前の開発情報
・使用しているサーバなどのパスワード

-対策-
・情報を保存したサーバには、アクセス権を設定しアクセス者を限定する
・パスワードに「123456」などの安易なものを設定しない
・ID、パスワードをメモなどに残さない
・持ち出してよい情報、持ち出してはいけない情報を決めておく

3.完全性:integrity とは

完全性とは、改ざんなどがなく正確な情報が保持されている状態を指します。
完全性が損なわれると、情報の正確性や信頼性がなくなってしまいます。

要するに、情報に間違いがないこと、最新のものであること、欠けていることがないことを維持しようという内容になります。
例ですが、HPが改ざんされるとお客様に間違った情報を提供してしまう恐れがあるほか、HP閲覧者のPCがウイルス感染してしまう場合もあります。

■完全性を保持したほうが良い情報とその対策は以下のような情報になります。
・情報保管しているサーバ
・自社HP
・データ分析システム

-対策-
・アクセス履歴や変更履歴を残し、追跡できるようにする
・すぐに復旧できるようバックアップを取っておく
・ソフトウェアの定期的なアップデート
(古いソフトウェアはセキュリティホールが攻撃されやすいです)

4.可用性:availability とは

可用性とは、情報を使いたいときに使える状態にしておくことを指します。
例ですが、PCやサーバーに保管しているデータが整理、整頓されていない状態でおかれていると、探すまでに時間がかかってしまい、可用性が損なわれていると言えます。
クラウドサービスに保管している情報は24時間365日アクセスができるため可用性が高いと言えますね。

■可用性を保持したほうが良い情報とその対策は以下のような情報になります。
・毎日従業員がアクセスするサーバー
・HDDやUEBメモリ等の外部記憶媒体
・携帯電話、メール

-対策-
・サーバーをクラウド化する
・BCP(事業継続計画)を実施し無停電装置などを導入する
・システム障害が発生した場合の代替ツールを決めておく(メールの代わりにチャットツールなど)

5.CIAのレベルの分け方事例

続いては機密性(C)、完全性(I)、可用性(A)のレベル分けについて説明していきます。

ISMS(ISO27001)を運用していくうえで、資産のリスクアセスメントをすることが求められます。
情報資産はリスクアセスメントでは機密性(C)、完全性(I)、可用性(A)をもとに価値を決定します。

以下のような基準を決め社内の情報資産をレベル分けしている企業が多いです。自分たちが持っている情報は機密性(C)、完全性(I)、可用性(A)のレベルがどこに分類されるか考えてみてはいかがでしょうか。

 機密性完全性可用性
レベル3  機密性が高い完全性が高い可用性が高い
レベル2  機密性が高いわけでは
ないが、低くもない
完全性が高いわけでは
ないが、低くもない
可用性が高いわけでは
ないが、低くもない
レベル1  機密性が低い完全性が低い可用性が低い

 

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

6.機密性・完全性・可用性はバランスが大事

機密性(C)、完全性(I)、可用性(A)について説明してきましたが、これら3要素はバランスが非常に重要です。

例えば、機密性を保持するために誰もアクセスできない場所に情報資産を保管してしまうと、可用性が損なわれてしまいます。
可用性を優先するあまり完全性を失ってしまうなんて言うこともあり得ます。

そのため機密性(C)、完全性(I)、可用性(A)3つの要素をバランスよくリスクアセスメントすることが非常に大切になります。そのほかにも社会的影響度や経済的影響度などを考慮に入れることも重要です。

7.情報セキュリティの概念の新しい4要素

近頃では機密性(C)、完全性(I)、可用性(A)に新たに4つの新要素が重要視されています。

4つの新要素とは、
真正性   :Authenticity
信頼性   :Reliability
責任追跡性:Accountability
否認防止  :non-repudiation
です。

真正性(Authenticity)
情報にアクセスする企業や個人にアクセス権限があることを確実にすることです。意図していない人にアクセス権限を付与しないようにすることが重要です。

信頼性(Reliability)
データやシステムを利用した際、ヒューマンエラーやプログラムの不具合(バグなど)がなく、意図した動きをすることです。

責任追跡性(Accountability)
企業や個人の動きを追跡することです。情報へ不正アクセスなどの脅威があった場合、何による攻撃で誰のどのような行為が原因なのかを追える状態にすることです。

否認防止(non-repudiation)
情報が後になって否定されないように証明しておくことです。
情報の改ざんや情報を利用した際、事後になって否認できないようにすることです。
システムのログ取得を取る対応などが否認防止対策になります

まとめ

機密性・完全性・可用性とは重要な情報の改ざんや滅失、消失、破損を防ぎ、安全に情報を取り扱うための要素になります。

また、それぞれのバランスが非常に重要で可用性を優先すると機密性が損なわれるケースも多いので社会的影響度や経済的影響度などを考慮に入れてみましょう。

機密性・完全性・可用性のほかに概念の新しい4要素も重要視されており真正性、信頼性、責任追跡性、否認防止の観点もISMS運用に必要な要素です。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。