セミナー情報情報セキュリティの3要素とは?対策方法についても解説!
組織の情報セキュリティを強化するうえで必須の概念として、「情報セキュリティの3要素」という指標があります。「情報セキュリティの3要素」は、情報の保存形態や伝達形態が多様化していくなかで定義された、ISMSにおける認証基準「ISO/IEC 27001」でも採用されている重要な概念の一つです。
本記事では、情報セキュリティの基礎といえる「情報セキュリティの3要素」と、それぞれに対する具体的な対策方法などを詳しくご紹介します。
・情報セキュリティの3要素 対策方法とは?
・現在は4要素が追加され、情報セキュリティの7要素とも呼ばれる
・情報セキュリティの3要素(7要素)は、ISMS認証において重要な指標
・情報セキュリティ対策は、SS1にお任せ!
・まとめ
情報セキュリティの3要素とは
情報セキュリティの3要素とは、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」のことです。それぞれの頭文字をとり、「CIA」と呼ぶ場合もあります。
| 機密性 | 許可された利用者だけが情報にアクセスできるようにすること。アクセスコントロール。 |
|---|---|
| 完全性 | 情報が完全に正確であり、改ざんなどがおこなわれていない状態を保証すること。 |
| 可用性 | 情報を利用したいとき、いつでも利用可能な状態であること。 |
情報セキュリティにおいては、これらの3要素を常に維持し、改善を続けることが求められます。
以下より、もう少し詳しく各要素の内容をみていきましょう。
①機密性(Confidentiality)
機密性とは、許可された利用者だけが情報にアクセスできるようにすることを指します。
組織は、さまざまな形態・内容の情報を保有しているものです。しかし、それらすべての情報を誰もが自由に閲覧できるようにしていると、セキュリティ上大きなリスクが生じます。
セキュリティを検討するうえでは、情報の重要度にあわせてユーザーのアクセス権限を設定し、必要以上の人間に情報を取り扱わせないことが大切です。
一人の人間に対し過剰なアクセス権限を与えるなどして機密性が低下した場合、情報の持ち出しリスクが増加したり、外部からの不正アクセスによってアカウントが乗っ取られた際、簡単に重要情報の窃取を許してしまったりする可能性が高まります。
機密性の確保には、こうした危険性を低減させる役割があるのです。
②完全性(Integrity)
完全性とは、情報が改ざんされておらず、正確であると保証することです。
サイバー攻撃というと、どうしてもハッカーによる不正アクセスといった、機密性・可用性に対する脅威が取り上げられがちです。しかし、本当に恐ろしいのは完全性に対する攻撃であるという有識者もいます。
2021年2月、アメリカ合衆国フロリダ州にある水処理施設で、運用されていたシステムに対するサイバー攻撃が確認されました。
当該システムに侵入したハッカーは、システム内のソフトウェアで制御されていた水酸化ナトリウムの調合量を、従来の100ppmから111倍の11,100ppmに引き上げたのです。
幸いオペレーターがすぐに気づいて一般市民への影響はなかったとされていますが、仮に誤った設定によって処理された水道水が流出していた場合、命にもかかわる重大事件に発展していたことでしょう。
このほか、Webサイトを改ざんして嘘の告知を掲載することで、アクセスしたユーザーに混乱を生じさせるなど、組織の信頼失墜を狙った事例も存在します。
完全性の低下を狙った攻撃は、機密性や可用性に対するものと違って発見が遅れやすいという特徴があります。だからこそ、改ざんを早期発見できるシステム構成を意識して、リスクに備えることが重要です。
③可用性(Availability)
情報を必要とするとき、いつでも使える状態にしておくことを可用性といいます。
機器故障やシステムダウンなどの原因で可用性が損なわれてしまうと、組織全体の業務が停止してしまい、生産性の低下や機会損失につながる恐れがあります。
直近で話題となった可用性に関するインシデントとしては、2024年7月に発生したCrowdStrike社製品による大規模障害が記憶に新しいでしょう。同社の提供するEDR製品のWindows OS向けアップデートに欠陥があり、当時世界中で利用されていたWindows PCで同時多発的にシステムクラッシュが発生しました。
本件が与えた世界的な影響は計り知れず、現在では「史上最大の障害」ともいわれています。実際、特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)が発表した「JNSA 2024セキュリティ十大ニュース」でも、第1位として名を連ねる結果となりました。
本インシデントは、攻撃者によって意図して引き起こされたサイバー攻撃ではなく、特定の製品に内包されていたバグが原因です。しかし、影響を受けた端末は世界で850万台・損失は54億ドルとも報道されており、甚大な被害が確認されています。
クラウドストライク事件は、可用性が低下した場合の影響範囲の大きさを物語る歴史的な一件といえるでしょう。
情報セキュリティの3要素 対策方法とは?
情報セキュリティの3要素を確保するためには、具体的にどのような対策をおこなう必要があるのでしょうか。
本章では、いくつかの具体例とともに対策方法をご紹介していきます。
| 機密性 | アクセス権限の最小化、パスワード管理 |
|---|---|
| 完全性 | バージョン管理、ログ管理 |
| 可用性 | 冗長化、データのバックアップ |
①機密性のための対策
機密性への対策を考える際、もっとも基本的な考え方として「最小権限の原則」が挙げられます。
これは特定のユーザーに対し、そのユーザーにとって必要最低限のアクセス権限のみ付与することを意味する原則です。業務上必要のない情報にははじめからアクセスできないようにしておくことで、情報漏洩のリスクを最小限におさえられます。
もちろん、与えたアカウント権限に関するパスワード管理も重要です。推測可能なパスワードの利用や、複数のシステムにおけるパスワードの使いまわしは避けるよう指導しましょう。
システム上でユーザーのパスワード強度をコントロールできる機能(最低2つ以上の文字種を含ませる、パスワードの最低文字数を指定するなど)がある場合は、積極的に利用することをおすすめします。
②完全性のための対策
完全性の確保を目指す場合は、情報改ざんがあったときに早期発見できる仕組みを構築することが重要です。
たとえば、一定の周期でデータのバックアップを取得し、バージョン管理をおこなうといった施策が考えられます。同じデータを別の媒体に複数保管しておくことで、データ同士を照らしあわせて改ざんの有無を確認したり、改ざんが確認された際速やかに復旧作業をおこなったりできます。
また、データに関する各種履歴をログ情報として追跡できるようにしておけば、改ざんが生じたタイミングや攻撃者(作業者)を特定することが可能です。こちらもバックアップと同様に、改ざん内容の早期発見に役立てられる施策になります。
③可用性のための対策
可用性を確保し、システムの安定稼働を目指すなら、システムの冗長化などが有効です。
一方のシステムがダウンしてしまった場合でも、もう一方のシステムが代わりに稼働することで、全体への影響を最小限におさえられます。同じく事業継続性を担保するという意味では、データのバックアップを取得しておくことも代表的な施策の一つです。
ちなみにバックアップをおこなう際は、データの保管場所としてなるべく離れた拠点を選ぶようにしましょう。ビルの倒壊や自然災害などで一つの拠点が被害を受けたとき、すべてのデータが損失してしまっては意味がありません。
仮に広域におよぶ災害が発生した場合でも、影響を受けない場所にバックアップデータを分散させておくと安心です。
基本的には各地の支社にデータを分散させる方法が一般的ですが、そういった場所がない組織はデータ保存の専門業者に頼るという手もありますので、自社の環境にあわせて検討してみてください。
現在は4要素が追加され、情報セキュリティの7要素とも呼ばれる
ここまで、情報セキュリティの3要素についてご紹介してきましたが、これに新たに4要素を追加した「情報セキュリティの7要素」という概念も存在します。
| 真正性(Authenticity) | 情報にアクセスするシステムや利用者が、明確に本人であると保証すること。なりすましでないこと。 |
|---|---|
| 責任追跡性(Accountability) | システムやデータを利用した履歴が明確に残っていること。 |
| 信頼性(Realiability) | システムの動作・結果が、意図した通りになっていること。 |
| 否認防止(non-repudiation) | インシデントの原因となった人物が、あとから否定できないようにすること。 |
これらの考え方は、システムを正常に稼働させ、「誰が」「どの情報資産に対し」「どういった操作をおこなったのか」を確実にとらえることで、情報セキュリティを維持しようというものです。
具体的な施策としては、二段階認証・生体認証といったなりすまし防止策や、システム設計段階での厳密なレビューテスト実施、人的ミスによる誤操作を防ぐためのマニュアル作成などが挙げられます。
情報セキュリティの3要素(7要素)は、ISMS認証において重要な指標
ISMS(情報セキュリティマネジメントシステム)とは、各組織におけるセキュリティポリシーなどのルールについて、適切な策定・運用・更新をおこなうための仕組みです。そしてISMS認証とは、その仕組みが客観的にみてきちんと運用されていることを保証する規格を指します。
ISMS認証の取得は、重要資産を適切に管理・運用できていることの客観的な証左となります。よって、顧客や取引先からの信用を獲得したり、官公庁など厳密なセキュリティ管理が求められる組織とのビジネス活動に役立ったりと、さまざまなメリットを享受することが可能です。
ISMSでは、情報セキュリティを「情報セキュリティの3要素(7要素)が維持されていること」と定義しています。したがってISMS認証においては、これらの3要素(7要素)の維持を実現する管理体制の構築や、施策の実行が求められているのです。
ISMS認証の取得を目指している場合は、情報セキュリティの3要素(7要素)について、必ず押さえておきましょう。
情報セキュリティ対策は、SS1にお任せ!
弊社製品のIT資産管理ツールSS1
/SS1クラウドは、組織の情報セキュリティ対策をご支援しています。
特に各種ログ取得機能によって証跡管理がおこなえるため、情報改ざん履歴の追跡や否認防止観点からの証拠保全に対応可能です。
そのほか、Windows OS更新管理やUSBメモリなどのデバイス接続制限など、組織がおこなうべき情報セキュリティ対策に役立つさまざまな機能を搭載しています。
セキュリティ対策の実行にお悩みであれば、以下のページをご参照ください。
まとめ
情報セキュリティの3要素の概要と、具体的な施策について解説しました。
これらの要素に対する対策は、それぞれが独立しているわけではありません。一つの対策が複数の要素を網羅したり、逆に各施策の内容がトレードオフの関係になったりしている場合もあります。
特に、限られた範囲だけで情報を運用する「機密性」と、システム安定稼働のために重要情報を外部へ保存する「可用性」の施策がバッティングするケースなどはよく聞かれます。
情報セキュリティの3要素を網羅した対策を検討する場合は、一つの要素の対策を深めるあまり、ほかの要素を疎かにしていないかをつぶさに検証しながら進めることが肝要です。
3要素のバランスをとりながら、自組織の環境にあわせた施策の検討を心がけましょう。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
