セミナー情報情報セキュリティの3要素(CIA)とは?7要素との違いや対策を初心者向けに解説
・なぜ情報セキュリティの3要素がビジネスに不可欠なのか
・3要素「機密性」「完全性」「可用性」の具体的な意味
・明日から実践できる具体的な対策方法
・3要素のバランスを取るうえでの注意点や、発展的な「7要素」との関係性
「情報セキュリティ対策を始めたいが、何から手をつければいいか分からない...」 「"CIA"や"3要素"という言葉は聞くけれど、具体的に何を指すのか、なぜ重要なのかが分からない...」
このようにお悩みではありませんか? 情報セキュリティ対策は、その根幹をなす「情報セキュリティの3要素(CIA)」の理解から始まります。本記事では、この最も重要な3つの要素について、初心者の方にも分かりやすく解説します。
・なぜ3要素の理解がビジネスに不可欠なのか?
・情報セキュリティの3要素 対策方法とは?
・3要素を補強する「情報セキュリティ 7要素」の考え方
・情報セキュリティ対策は、SS1にお任せ!
・まとめ
情報セキュリティの3要素とは
情報セキュリティの3要素とは、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」のことです。それぞれの頭文字をとり、「CIA」と呼ぶ場合もあります。
| 機密性 | 許可された利用者だけが情報にアクセスできるようにすること。アクセスコントロール。 |
|---|---|
| 完全性 | 情報が完全に正確であり、改ざんなどがおこなわれていない状態を保証すること。 |
| 可用性 | 情報を利用したいとき、いつでも利用可能な状態であること。 |
情報セキュリティにおいては、これらの3要素を常に維持し、改善を続けることが求められます。
以下より、もう少し詳しく各要素の内容をみていきましょう。
①機密性(Confidentiality)
機密性とは、許可された利用者だけが情報にアクセスできるようにすることを指します。
組織は、さまざまな形態・内容の情報を保有しているものです。しかし、それらすべての情報を誰もが自由に閲覧できるようにしていると、セキュリティ上大きなリスクが生じます。
セキュリティを検討するうえでは、情報の重要度にあわせてユーザーのアクセス権限を設定し、必要以上の人間に情報を取り扱わせないことが大切です。
一人の人間に対し過剰なアクセス権限を与えるなどして機密性が低下した場合、情報の持ち出しリスクが増加したり、外部からの不正アクセスによってアカウントが乗っ取られた際、簡単に重要情報の窃取を許してしまったりする可能性が高まります。
機密性の確保には、こうした危険性を低減させる役割があるのです。
②完全性(Integrity)
完全性とは、情報が改ざんされておらず、正確であると保証することです。
サイバー攻撃というと、どうしてもハッカーによる不正アクセスといった、機密性・可用性に対する脅威が取り上げられがちです。しかし、本当に恐ろしいのは完全性に対する攻撃であるという有識者もいます。
2021年2月、アメリカ合衆国フロリダ州にある水処理施設で、運用されていたシステムに対するサイバー攻撃が確認されました。
当該システムに侵入したハッカーは、システム内のソフトウェアで制御されていた水酸化ナトリウムの調合量を、従来の100ppmから111倍の11,100ppmに引き上げたのです。
幸いオペレーターがすぐに気づいて一般市民への影響はなかったとされていますが、仮に誤った設定によって処理された水道水が流出していた場合、命にもかかわる重大事件に発展していたことでしょう。
③可用性(Availability)
情報を必要とするとき、いつでも使える状態にしておくことを可用性といいます。
機器故障やシステムダウンなどの原因で可用性が損なわれてしまうと、組織全体の業務が停止してしまい、生産性の低下や機会損失につながる恐れがあります。
直近で話題となった可用性に関するインシデントとしては、2024年7月に発生したCrowdStrike社製品による大規模障害が記憶に新しいでしょう。同社の提供するEDR製品のWindows OS向けアップデートに欠陥があり、当時世界中で利用されていたWindows PCで同時多発的にシステムクラッシュが発生しました。
本件が与えた世界的な影響は計り知れず、現在では「史上最大の障害」ともいわれています。実際、特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)が発表した「JNSA 2024セキュリティ十大ニュース」でも、第1位として名を連ねる結果となりました。
本インシデントは、攻撃者によって意図して引き起こされたサイバー攻撃ではなく、特定の製品に内包されていたバグが原因です。しかし、影響を受けた端末は世界で850万台・損失は54億ドルとも報道されており、甚大な被害が確認されています。
クラウドストライク事件は、可用性が低下した場合の影響範囲の大きさを物語る歴史的な一件といえるでしょう。
なぜ3要素の理解がビジネスに不可欠なのか?
情報セキュリティの3要素は、以下のような理由から、組織の事業活動で非常に大きな役割を持っています。
ビジネスを守る土台となる考え方
情報セキュリティの目的は、単に情報を守ることだけではありません。その先にある「ビジネスの継続」と「社会的信用の維持」が真の目的です。
・完全性が損なわれWebサイトが改ざんされれば、顧客に誤った情報を与え、信頼を失う
・可用性が損なわれシステムが停止すれば、業務が止まり、売上機会を損失する。
このように、3要素のいずれが欠けても、ビジネスに深刻なダメージを与える可能性があります。だからこそ、この3つの観点をバランス良く維持することが、安定した事業活動に不可欠なのです。
ISMS(ISO27001)認証の基本要件でもある
ISMS(情報セキュリティマネジメントシステム)とは、組織が情報を適切に管理するための仕組みです。
その国際規格である「ISMS認証(ISO27001)」では、情報セキュリティを「機密性、完全性及び可用性を維持すること」と定義し、基本的な概念として位置づけています。
つまり、情報セキュリティの3要素を維持・管理する体制を構築することは、国際的な標準の要求に応えることであり、顧客や取引先からの信頼を獲得するうえでも極めて重要な指標となっているのです。
情報セキュリティの3要素 対策方法とは?
情報セキュリティの3要素を確保するためには、具体的にどのような対策をおこなう必要があるのでしょうか。
本章では、いくつかの具体例とともに対策方法をご紹介していきます。
| 機密性 | アクセス権限の最小化、パスワード管理 |
|---|---|
| 完全性 | バージョン管理、ログ管理 |
| 可用性 | 冗長化、データのバックアップ |
①機密性のための対策
機密性への対策を考える際、もっとも基本的な考え方として「最小権限の原則」が挙げられます。
これは特定のユーザーに対し、そのユーザーにとって必要最低限のアクセス権限のみ付与することを意味する原則です。業務上必要のない情報にははじめからアクセスできないようにしておくことで、情報漏洩のリスクを最小限におさえられます。
もちろん、与えたアカウント権限に関するパスワード管理も重要です。推測可能なパスワードの利用や、複数のシステムにおけるパスワードの使いまわしは避けるようにしましょう。
アドバイス
システム上でパスワード強度をコントロールできる(最低2つ以上の文字種を含ませる・パスワードの最低文字数を指定する)などの機能は、積極的に利用することをおすすめします。
②完全性のための対策
完全性の確保を目指す場合は、情報改ざんがあったときに早期発見できる仕組みを構築することが重要です。
たとえば、一定の周期でデータのバックアップを取得し、バージョン管理をおこなうといった施策が考えられます。同じデータを別の媒体に複数保管しておくことで、データ同士を照らしあわせて改ざんの有無を確認したり、改ざんが確認された際速やかに復旧作業をおこなったりできます。
アドバイス
データに関する各種履歴をログ情報として追跡できるようにしておけば、改ざんが生じたタイミングや攻撃者(作業者)を特定することが可能です!
③可用性のための対策
可用性を確保し、システムの安定稼働を目指すなら、システムの冗長化などが有効です。
一方のシステムがダウンしてしまった場合でも、もう一方のシステムが代わりに稼働することで、全体への影響を最小限におさえられます。同じく事業継続性を担保するという意味では、データのバックアップを取得しておくことも代表的な施策の一つです。
アドバイス
バックアップをおこなう際は、データの保管場所としてなるべく離れた拠点を選ぶようにしましょう。広域におよぶ災害が発生した場合でも、影響を受けない場所にバックアップデータを分散させておくと安心です。
支社がある場合は各拠点に分散し、難しい場合はデータ保存の専門業者の利用も検討してみてください。
3要素を補強する「情報セキュリティ 7要素」の考え方
3要素(CIA)はセキュリティの土台ですが、近年のビジネス環境の変化に対応するため、これを補強する4つの要素を加えた「7要素」という考え方も提唱されています。3要素を理解した次のステップとして知っておきましょう。
追加された4つの情報セキュリティ要素
| 真正性(Authenticity) | 情報にアクセスするシステムや利用者が、明確に本人であると保証すること。なりすましでないこと。 |
|---|---|
| 責任追跡性(Accountability) | システムやデータを利用した履歴が明確に残っていること。 |
| 信頼性(Reliability) | システムの動作・結果が、意図した通りになっていること。 |
| 否認防止(non-repudiation) | インシデントの原因となった人物が、あとから否定できないようにすること。 |
これらの考え方は、システムを正常に稼働させ、「誰が」「どの情報資産に対し」「どういった操作をおこなったのか」を確実にとらえることで、情報セキュリティを維持しようというものです。
具体的な施策としては、二段階認証・生体認証といったなりすまし防止策や、システム設計段階での厳密なレビューテスト実施、人的ミスによる誤操作を防ぐためのマニュアル作成などが挙げられます。
なぜ要素が拡張されたのか?
クラウドサービスの普及やリモートワークの拡大により、「なりすまし」や「内部不正」のリスクが増大しました。こうした背景から、従来のCIAだけでは不十分となり、「誰が操作したか」を明確にし、その証拠を確保する「真正性」や「責任追跡性」といった概念の重要性が高まったのです。
情報セキュリティ対策は、SS1にお任せ!
弊社製品のIT資産管理ツールSS1
/SS1クラウドは、組織の情報セキュリティ対策をご支援しています。
特に各種ログ取得機能によって証跡管理がおこなえるため、情報改ざん履歴の追跡や否認防止観点からの証拠保全に対応可能です。
そのほか、Windows OS更新管理やUSBメモリなどのデバイス接続制限など、組織がおこなうべき情報セキュリティ対策に役立つさまざまな機能を搭載しています。
セキュリティ対策の実行にお悩みであれば、以下のページをご参照ください。
まとめ
本記事では、情報セキュリティの根幹をなす「3要素(CIA)」について、その重要性から具体的な対策、発展的な7要素の考え方までを解説しました。
・対策は「技術」「人・ルール」「物理」の観点から多角的に考える必要がある
・3要素はトレードオフの関係にあり、自社の状況にあわせて最適なバランスを見つけることが何よりも重要
情報セキュリティ対策に「絶対の正解」はありません。
まずはこの3要素の考え方を基本に、自社にどのようなリスクがあり、どこから手をつけるべきかを検討することから始めてみましょう。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
編集部からの一言コメント
Webサイトを改ざんして、嘘の告知をおこなうなどしてユーザーに混乱を生じさせ、組織の信頼失墜を狙うような事例も存在します。 完全性の低下を狙った攻撃は発見が遅れやすいため、改ざんを早期発見できるシステム構成を意識し、リスクに備えることが重要です。