Written by WizLANSCOPE編集部
目 次
情報セキュリティにおける「3要素」とは、一般的に「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」を指し、これらの頭文字をあわせて「CIA」とも呼ばれています。
情報セキュリティの3要素をバランスよく維持することは、企業・組織が保有する情報資産を適切に保護するだけでなく、組織として適切な情報セキュリティ管理体制を整備し、運用していることを証明する「ISMS認証」の取得にも役立ちます。
本記事では、情報セキュリティ3要素の定義や確保・維持するための具体的な対策など、また追加された4要素について解説します。
▼本記事でわかること
- 情報セキュリティ3要素の概要
- 情報セキュリティ3要素に追加された4つの要素
- 具体的な情報セキュリティ対策
「情報セキュリティの3要素とは何か」「自社が保有する情報資産を保護するためにはどのような対策が必要か」などを知りたい方はぜひご一読ください。
情報セキュリティの3要素とは
情報セキュリティの3要素とは、一般的に、機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)を指します。
3要素の頭文字をとってCIAとも呼ばれています。
| 機密性(Confidentiality) | ・許可されたユーザーのみが情報にアクセスできる状態にしておくこと |
|---|---|
| 完全性 (Integrity) |
・情報を正確かつ完全な状態にしておくこと |
| 可用性(Availability) | ・必要なときにいつでも情報を利用可能な状態にしておくこと |
これら3つの要素は、情報を適切に保護し、不正アクセスやデータの改ざん、さらにはサービスの停止といったさまざまなリスクから企業・組織を守るうえで、非常に重要な役割を担います。
企業・組織が保有する情報資産を確実に保護するためには、これらの要素を正しく理解し、適切な対策を講じることが欠かせません。
機密性・完全性・可用性の3つの要素について、詳しく解説します。
機密性(Confidentiality)
機密性とは、許可されたユーザーのみが情報にアクセスできる状態にしておくことです。
この機密性が保たれていない場合、重要な情報が漏洩し、悪用される可能性があります。
情報漏洩による信頼の喪失や法的な責任を負うリスクが生じるため、機密性の確保は極めて重要です。
機密性を確保するための方法としては、以下が挙げられます。
| アクセス権限の最小化 | ・重要な情報へのアクセス権限は限られた人のみに付与することで、不正アクセスのリスクを低減できる |
|---|---|
| パスワードポリシーの設定 | ・パスワードポリシー(パスワードに関するルールや規定)を設定することで、脆弱なパスワードの設定を防ぐことができる |
| データの暗号化 | ・データ転送時や保存時に暗号化を行うことで通信の盗聴による情報漏洩リスクを低減できる |
| VPNの導入 | ・VPNを導入し、通信データを暗号化することで、攻撃者による窃取やデータ改ざんから保護できる |
完全性(Integrity)
完全性とは、情報を正確かつ完全な状態で保持することを指します。
言い換えると、「情報に間違いがなく、最新であり、過不足がない状態」を維持することが、完全性の確保につながります。
完全性が低い場合、誤った情報に基づいて意思決定が行われたり、企業・組織の評判や信頼性が低下したりする恐れがあります。
そのため、情報セキュリティにおいて「完全性」は、非常に重要な要素とされています。
完全性を確保するための方法としては、以下が挙げられます。
| バージョン管理の実施 | ・「いつ」「だれが」「どのような変更を行なったのか」を必要に応じてさかのぼって確認できる ・誤った情報があった場合、以前の状態に戻すことができる |
|---|---|
| データのバックアップ | ・定期的にバックアップを取得しておくことで、データの損失や改ざんが発生した場合でも、すぐに復元することができる ・重大な障害や不正アクセスが発生しても、リスクが軽減できる |
| デジタル署名の導入 | ・文書が、作成者によるものであり、改ざんされていないことを証明できる |
可用性(Availability)
可用性とは、必要なときにいつでも情報を利用可能な状態に維持することを指します。
可用性が低下すると、システムのダウンタイムや遅延が発生し、業務が停滞、生産性の低下、ビジネスの信頼性や顧客満足度の低下につながる可能性があります。
安定したサービス提供のためには、可能性の確保が欠かせません。
可用性を確保する方法としては、以下が挙げられます。
| 冗長化の実施 | ・日常から同一機能を持つ機器やサーバーを複数運用することで、いずれかが故障しても、システム全体を停止せずに稼働を継続できる |
|---|---|
| 負荷分散の実施 | ・複数のサーバーへ処理を均等に分散することで、一部のサーバーが停止しても、残りのサーバーでサービスが継続できる |
| 無停電電源装置の導入 | ・予期せぬ停電が発生しても、一定時間システムを稼働させ続けられる ・サーバーやストレージ機器の強制シャットダウンを防ぎ、データ損失や機器故障のリスクを軽減できる |
情報セキュリティ3要素に追加された4つの要素
近年では、前述の3要素に加えて、4つの要素を含めた「情報セキュリティ7要素」が重要視されています。
これにより、より多面的かつ高度なセキュリティ対策が求められるようになっています。
| 真正性 (Authenticity) |
・情報にアクセスしているユーザーやデバイスが、正当に許可された人物やシステムであることを明確にする状態を指す ・不正アクセス防止の観点から、認証技術やデバイス管理が求められている |
責任追跡性(Accountability) | ・情報やシステムに対して、「いつ」「誰が」「どのような操作を行ったのか」が、明確にできる状態を指す ・ログ管理や監視体制の整備で、不正行為の抑止や、万一問題が発生した際の迅速な原因究明が求められている |
否認防止 (non-repudiation) |
・情報資産に関する操作・取引において、関係者が後から「関与していない」と否認できないように証明する仕組みを指す ・電子証明や取引記録の保全が求められている |
信頼性 (Reliability) |
・システムの処理やデータ操作が、欠陥や不具合なく正確に実行されている状態を指す ・安定した運用や品質の高いシステム設計が求められている |
|---|
情報セキュリティを構成する7要素に関しては、以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。
ISMS取得と情報セキュリティ3要素の関係
ISMS認証とは、職場に潜む危険性やリスクを把握し改善するために行う「リスクアセスメント」に基づき、保有する情報の重要度に応じた適切な管理を実施し、継続的に改善していくための仕組みです。
ISMS認証を取得することで、企業・組織が適切な情報セキュリティ管理体制を整備・運用していることを対外的に証明することができるため、顧客や取引先からの信頼向上といったメリットが期待できます。
このISMS認証を取得するためには、国際規格である「ISO/IEC 27001」に従って、自社のセキュリティ環境を整備する必要があります。
その「ISO/IEC 27001」において、機密性・完全性・可用性をバランスよく確保・維持することが求められているのです。
この前提として、適切な管理策を選定するために欠かせないのが「リスクアセスメント」です。
リスクアセスメントの手順については、次で説明いたします。
リスクアセスメントの基本的な手順
リスクアセスメントは、一般的に以下の手順で実施します。
| 1.リスクの特定(洗い出し・分析・評価) | ・組織が保有する情報資産にどのような潜在的リスクがあるのかを洗い出し、分析・評価する |
|---|---|
| 2. 優先順位を決めてリスク対応 | ・特定したリスクについて、発生可能性や組織・業務への影響度に応じて優先順位を設定する ・優先度の高いものから対策を講じ、リスクを許容できるレベルまで軽減する |
| 3.リスクアセスメントの実施状況の評価・見直し | ・リスクアセスメント実施後、定期的に状況を評価し、必要に応じて改善・修正する ・環境変化や新たな脅威に対応できるように、継続的な見直しを実施する |
これらの手順を適切に実施・運用することで、企業は情報セキュリティリスクを最小限に抑え、安全で信頼性の高いビジネス環境を構築することができます。
情報セキュリティ3要素の向上につながる情報セキュリティポリシーの策定
情報セキュリティポリシーとは、企業・組織が取り組む情報セキュリティ対策に関する基本方針や行動指針を定めたものです。
この情報セキュリティポリシーを策定することで、「どのような対策を、どの手順で実施するのか」といった取り組み内容を明確にでき、組織全体で統一したセキュリティ対策を行う基盤が整います。
さらに、策定したポリシーは、企業・組織全体に周知徹底することで、高度な情報セキュリティ対策を実現につながり、結果として情報セキュリティの3要素を向上させることにつながります。
情報セキュリティポリシーに含めるべき内容について解説します。
情報セキュリティポリシーに含めるべき内容
情報セキュリティポリシーに含めるべき内容は、企業・組織の規模や保有する情報資産、体制などによって異なります。
そのため、最適な項目は組織ごとに異なりますが、一般的には以下の文書を含めることが望ましいとされています。
| 情報セキュリティ基本方針 | ・組織として、情報セキュリティにどのような姿勢で取り組むのか、基本的な方針示した文書 |
|---|---|
| 情報セキュリティ対策規定 | ・情報セキュリティを実現するための具体的なルールや規則を定めた文書 |
| 情報セキュリティ対策手順書 | ・実際のセキュリティ対策をどのような手順や手続きで実施するかを示した文書 |
これらの文書は、組織の情報セキュリティ体制を形づくる基盤となるものであり、安全で信頼性の高い情報環境を構築するために不可欠です。
詳しくは以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。
具体的な情報セキュリティ対策
ここまで情報セキュリティ対策を進める上で理解しておくべき3要素について解説してきました。
ここからは、それらを踏まえた具体的な情報セキュリティ対策について解説します。
情報セキュリティ対策は、一般的に次の3つに大別されます。
- 技術的対策
- 物理的対策
- 人的対策
それぞれ確認していきましょう。
技術的対策
技術的対策は、ハードウェアやソフトウェアを用いて、システム面からセキュリティを強化するための対策です。
主に外部からの攻撃や内部不正を技術的に防ぐことを目的としています。
具体的な対策内容としては、以下が挙げられます。
- アンチウイルスソフトを導入し、マルウェア感染を防止する
- ファイアウォールやIDS/IPSを導入し、不正アクセスを防ぐ
- ログを監視し、攻撃の兆候や内部不正を早期に検知する
- 多要素認証を設定し、不正ログインを防止する
- OS・ソフトウェアを常に最新の状態を保ち、脆弱性を解消する
物理的対策
物理的対策は、自然災害や盗難、紛失など、物理的な脅威から情報資産を保護するための対策です。
システムを守る建物や設備、環境を安全に保つことが重要になります。
具体的な対策内容としては、以下が挙げられます。
- 鍵付きのキャビネットを活用し、書類や機器を管理する
- 防犯カメラを設置し、不正行為を抑止する
- 警備システムを導入し、侵入を防止する
- オフィスやサーバールームに入退室管理システムを導入する
- 停電対策として、予備電源を用意する
- 定期的にバックアップを取得し、災害時に備える
人的対策
人的対策とは、従業員のミスや内部不正といった、人に起因するセキュリティリスクを低減するための対策です。
人に起因する情報漏洩も多く報告されているため、極めて重要な対策といえます。
具体的な対策内容としては、以下が挙げられます。
- 操作手順をマニュアル化し、ミスを防止する
- 情報セキュリティ教育を実施し、セキュリティ意識を向上させる
- ログを監視し、内部不正を早期発見する
- 重要な情報へアクセス制限を行い、不正操作を防止する
「LANSCOPE エンドポイントマネージャー クラウド版」で行う情報セキュリティ対策
情報セキュリティ対策に有効なツールとして、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」を紹介します。
本記事では、特に「Windowsアップデート管理」「操作ログの収集」の機能について解説します。
Windowsアップデート管理
「LANSCOPEエンドポイントマネージャー クラウド版」は、以下のような機能で、Windowsアップデートの効率的な管理をサポートします。
- 最新のWindowsアップデート(機能更新プログラムや品質更新プログラムなど)が未適用のデバイスを、管理画面で一覧表示
- 配信日時や表示メッセージ等、細やかな設定に基づく、Windowアップデートの一括配信
- デバイスがインターネットに接続されていれば、社内ネットワークにアクセスしない社外利用のデバイスも管理が可能
- Windowsアップデートの配信後の成功・失敗の把握
例えば、Microsoft社が提供する「機能更新プログラム」(Feature Update[FU])や「品質更新プログラム」(Quality Update[QU])の適用状況を管理画面より把握し、パッチ・更新プログラムを配信までをワンストップで行えます。
管理者側でアップデートの配信・適用まで一括で操作できるため、従業員のリテラシーに左右されないパッチ管理が可能になります。
操作ログ収集
「LANSCOPE エンドポイントマネージャー クラウド版」では、一般的なIT資産管理ツールで実装されている以下のような操作ログをリアルタイムに取得できます。
- ログオン・ログオフログ
- ウィンドウタイトル
- ファイル操作ログ
- Webアクセスログ
- プリントログ
さらに、取得したログは標準で2年間、オプション導入で最大5年まで保存可能です。
活用することで、情報漏洩につながりかねない従業員の不正操作を早期に発見し、インシデントを未然に防ぐことができます。
「LANSCOPE エンドポイントマネージャー クラウド版」の詳しい機能は、以下の資料またはページをご確認ください。
3分で分かる!
LANSCOPE エンドポイントマネージャー クラウド版
PC・スマホをクラウドで一元管理できる「LANSCOPEエンドポイントマネージャー クラウド版」とは?についてわかりやすく解説します。機能や特長、価格について知りたい方はぜひご活用ください。
まとめ
本記事では「情報セキュリティ3要素」をテーマに、その概要や対策について解説しました。
本記事のまとめ
- 情報セキュリティの3要素とは、機密性・完全性・可用性のことを指す
- 近年では、「真正性」「責任追跡性」「否認防止」「信頼性」の4要素を加えた7要素が重要視されている
- 情報セキュリティを確保するためには、情報セキュリティ基本方針、情報セキュリティ対策規定、情報セキュリティ対策手順書などの3つの文書を策定することが重要
- 情報セキュリティ対策は、「技術的対策」「物理的対策」「人的対策」の3つに大別される
情報セキュリティの3要素は、いずれか一つを極端に高めるだけでは、利便性や生産性の低下を招いたり、逆に情報漏洩のリスクが高めたりする恐れがあります。
そのため、機密性、完全性、可用性のバランスを意識しながら、対策を講じることが、非常に重要です。
本記事で紹介した「情報セキュリティの具体的な対策」を参考に、ぜひ自社に最適な対策方法を検討してください。
また、まずは自社のセキュリティ対策状況や課題について把握したいという企業・組織の方に向けて、「情報セキュリティチェックシート」をご用意しました。
情報セキュリティに関する質問に答えるだけで自社のセキュリティ課題や、課題に対する具体的な対策までを把握することができます。ぜひダウンロードしてご活用ください。
おすすめ記事
