情報セキュリティの3要素(CIA)&4つの新要素を解説!
「上場企業の個人情報漏えい・紛失事故 2年連続最多を更新」ーそんな調査結果が東京商工リサーチより発表されました。(2023年1月19日発表)
2022年に個人情報の漏えい・紛失を公表した上場企業は150社(前年比25.0%増)となり、その半数以上がウイルス感染・不正アクセスによる情報漏えいだったとのことです。
※参照:東京商工リサーチ|個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~
急増する標的型攻撃やランサムウェアなどの脅威に対して適切にリスクアセスメントを実施し企業における情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっています。
ISMSとは「Infomation Security Management System」の略で、情報セキュリティマネジメントシステムと訳されます。
組織全体で情報セキュリティを守るために行う、効果的かつ継続的な取り組みや仕組みを指します。
今回は、情報システム部の皆さんは必須で知っておくべき情報セキュリティ対策の「基本」である情報セキュリティの3要素と、新しい概念の4要素、それを踏まえた上での正しい対策方法などを解説いたします。
目次[非表示]
情報セキュリティとは
「そもそも情報セキュリティって何?」という方のために、簡単に説明します。
ITシステムにおける「セキュリティ」は「情報セキュリティ」と「サイバーセキュリティ」の大きく2つに分けられます。
「情報セキュリティ」はデータなどの情報資産の状態を安全に保つことを指し、「サイバーセキュリティ」は情報セキュリティを脅かす脅威に対して対策をしていくという考え方です。
また、情報セキュリティに関する国際規格であるISO/IEC27001シリーズでは、情報セキュリティを以下のように定義しています。
『情報セキュリティとは、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」を維持すること』
これら3つの要素は、それぞれの頭文字を取って「CIA」とも呼ばれます。
まずは、この3要素を1つずつ理解していきましょう。
情報セキュリティの核である3要素とは
機密性
機密性とは、ある情報資産にアクセスする権限をもつ人だけがアクセスでき、それ以外の人には公開されないことです。
社員や取引先・顧客などの個人情報はもちろん、企業内のシステムにログインするためのID・パスワード・議事録・開発情報などの情報資産は、当然機密性が担保されるべきです。
機密性を担保する具体的な対策として、以下のようなものがあります。
・IDやパスワードなどは絶対に外部へ持ち出さないようにする
・人目につくような場所(デスクの上のメモや付箋など)にIDやパスワードを書き留めないようにする
・システムにログインできる担当者を決め、アクセス権限を設定する
・パスワードは極力複雑に設定し、使い回さないようにする
・機密情報が保存されたHDD(※)などの媒体は、限られた人しか触れないよう堅牢なセキュリティ環境の下で保管する
※HDD:Hard Disk Drive(ハード・ディスク・ドライブ)の略。パソコン・サーバーのデータの補助記憶装置。
完全性
完全性とは、データなどの情報資産が改ざんなどされることなく、正確さが維持されていることです。
完全性に欠けるデータは当然信用度が低く、価値の無いものになってしまいます。
もし企業が保持する情報が何者かによって改ざんされ、完全性に欠けるものであれば、企業内部はもちろん、取引先・顧客などに対しても、多大な損失をもたらすことになるのは想像に難くありません。
情報資産の完全性を守る具体的な方法として、以下のようなものがあります。
・データのバックアップを欠かさずに行い、情報管理に関する取り決めを徹底する
・データの変更があった場合、変更履歴が必ず残るようなシステムを構築する
・データへのアクセス履歴が残るようにする
・データが識別できるようにデジタル署名を付与する
可用性
可用性とは、必要なときに情報資産にいつでもアクセスでき、使用可能な状態が保たれていることを指します。
機密性や完全性が保たれていても、システム自体が稼働不可であっては結局、情報資産を使えず、問題になります。
近年ではシステムの稼働不可を狙うサーバー攻撃もあり、情報セキュリティが危険にさらされています。
情報資産の可用性を担保する具体的な方法としては、以下のようなものがあります。
・システムをオンプレミスからクラウドに移動する
・システムの二重化もしくは多重化を図る
・BCP(事業継続対策のこと。災害時などシステム障害への適切な対応)の整備
・UPS(無停電電源装置のこと。予期せぬ停電にも対応できる装置)の設置
・HDDをRAID構成(複数のHDDを一つのドライブとして利用する)にする
ISO/IEC27001とは
ISMSについて定義した規格(ルール・取り決め)には、国際規格であるISO/IEC27001シリーズや、それを翻訳した国内規格であるJIS Q 27001シリーズがあります。
ISO/IEC27001シリーズを制定する国際標準化基幹として存在するのが、「ISO(国際標準化機構)」と「IEC(国際電気標準会議)」です。
ISOは、全産業分野に関して情報セキュリティが達成するべき国際規格の作成を行っている国際標準化機関です。
そしてIECは、電気や電子技術分野の国際規格の作成を行っています。
ISOとIECが共同で規格を策定しているため「ISO/IEC27001」のように両方の名称が記載されており、情報セキュリティにおけるあらゆる項目がまとめられています。
そのベースとなる概念は、上述した情報セキュリティの3要素である「CIA」です。
情報セキュリティの新しい4要素とは
ISO/IEC27001シリーズでは、上述した3要素に加え、新たに以下の4要素も注記されています。
・真正性(Authenticity)
・信頼性(Reliability)
・責任追跡性(Accountability)
・否認防止(non-repudiation)
この4要素は、情報セキュリティを高めるための考え方として現在注目度が上がってきている内容です。
主に情報を活用する際に、どのようにすればインシデントを発生させずに済むのかを考えるために重要になるのがこの4要素と言えます。
それでは、この4要素についてもご紹介します。
信頼性
信頼性は、データ及びシステムを利用する側が意図した通りの結果が出ることを指します。
データやシステムは、プログラムにおけるバグなどの不具合やヒューマンエラーなどにより期待していた成果を得られないことが稀にありますが、以下のような対策を講じることで、信頼性の担保につながることでしょう。
万が一ヒューマンエラーが起こってしまったとしても、データが消えたり改ざんされたりすることがないようなシステムを構築する
システムやソフトウェアの不具合が無いことを前提に、万が一問題が起こってもすぐリカバリーできる体制を構築する
不具合が起こらないよう、プログラムを設計する段階から十分に対策を講じる
真正性
真正性とは、データにアクセスする個人や組織もしくは媒体について、なりすましがなくきちんと許可や認証の元にアクションされていることを指します。
真正性を十分に保つ施策として一般的なのは以下の通りです。
アクセスを適切に制限する
パスワードを盗んだ別人によるなりすましを防ぐために、二段階認証(※)や生体認証(※)を取り入れる
※二段階認証:なりすましを防ぐため、同一の認証方式を2つ組み合わせる方法
※生体認証:本人のみがもつ身体的特徴・行動的特徴により認証する方法(例 顔認証、静脈パターン認証など)
責任追跡性
責任追跡性は、「いつ、誰がアクセスし、何をしたか」を後からたどれるようにしておくことを指します。
システムを活用し、個人や企業の行動を細かく追跡することで、社員個人の適切でない行動など、情報セキュリティが漏洩した原因を追求することができます。
責任追跡性としては、主に次のような施策が一般的です。
デジタル署名を設定すること
ログイン・操作履歴をしっかりと確保しておくこと
アクセスされたログを保存しておくこと
※デジタル署名:書面上の手書き署名と同等のセキュリティ性を担保するために用いられる、公開鍵暗号技術の一種
否認防止
否認防止は、責任追跡性でたどった証拠を、「知らない」と言い訳されずに、客観的に証明できることを指します。
否認防止の主な対策としては次のようなものがあります。
組織の情報を不正に取得しようとしたり、改ざんしようとしたりした悪意のある第三者が、後からその事実を否認できないよう元のログやバックアップを確保しておく
関連する機器の時刻を合わせ、かつ改ざんできないように設定する
ご紹介したこれらの4要素はCIAの要素と比較して、インシデントを防止するための要素、インシデントが発生してしまった後の対処のための情報としての意味合いが強いことがわかります。
現実的な問題としてインシデントの発生率を0にすることは難しいため、発生を前提としてどのような観点で事前準備を行うべきかを示したものがこの4要素と言えます。
ご紹介したこれらの点を意識して、セキュリティソリューションや社内ガイドラインを設定していくことで、抜け漏れのない対策ができるような形になるでしょう。
まとめ
以上、今回は情報セキュリティの概念である3要素(CIA)と4つの新要素について解説いたしました。
ISMSを意識するうえでCIAの3要素が重要とは知ってはいたものの、実務レベルでどのような観点を持って対策を行うべきか、なかなかイメージできていなかった方は多いのではないでしょうか。
今回ご紹介した4つの新要素を加えることで、社内の情報セキュリティ体制での抜け漏れがないかどうかを改めて確認できるようになります。
3要素(CIA)と4つの新要素を意識して再度体制を確認し、不足している点があれば対策しセキュリティレベルを上げていきましょう。
とくに4つの新要素は、全体としてシステムでの対応により負荷軽減できる範囲が多いため、積極的なソリューションの導入が効果的であると考えています。
セキュリティ対策をどこからやればいいのかわからない、プロに相談したい
という方は、こちらまでご相談ください。
\アイエスエフネットのセキュリティサービス/
・情報漏えい調査サービス MIERUPASS(ミエルパス)
・エンドポイントセキュリティ MIERUDR(ミエルダー)
・標的型攻撃メール訓練サービス MIERUTRAP(ミエルトラップ)
・従業員へのセキュリティ教育サービス セキュリティベーシック研修
■関係記事
・情報漏えい対策の基本!! 当たり前のようで知らない情シスが行うべきこととは!?
・クラウド利用での情報漏洩に備える! 情シスが知っておくべきリスクとその対策とは??
※この記事は、公開時点の情報をもとに作成しています。