デジタル社会においてあらゆる情報がデジタル化されていく中で、情報の破損、消失、漏洩、改ざんなどを防ぐ「情報セキュリティ」の重要性が高まっています。
しかし、この「情報セキュリティ」について具体的な定義をご存じの人は少ないのではないでしょうか。
情報セキュリティ対策を行ったとして、対策として十分なのか、きちんと判断するのが難しいと感じる人もいるでしょう。
情報セキュリティには、重要な「3要素」が定義されています。
本記事では、情報セキュリティの3要素と、4つの要素が追加された情報セキュリティの7要素について、定義と具体的な対策を解説します。
Unix/LinuxをVPSで利用するなら
ミライサーバー
\2週間無料・全プランSSD搭載/
ミライサーバーを無料で試す
情報セキュリティの3要素(機密性・完全性・可用性)とは
情報セキュリティを考える上で基本となる3要素について、詳しく見ていきましょう。
情報セキュリティの3要素とは
情報セキュリティの3要素(CIA)とは「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3つを指します。
これは、国際規格「ISO/IEC 27000」に定められている情報セキュリティの定義「情報の機密性、完全性及び可用性を維持すること」からとられています。
すなわち、情報セキュリティは、この3要素に基づいて対策することが重要なのです。
ここからは、3要素の具体的な内容及び対策について、解説します。
機密性(Confidentiality)とは
機密性とは、アクセス権限を設定して情報を保護することです。
企業が扱う情報には、機密情報や顧客の個人情報など、機密性の高い情報が含まれます。
これらの情報について、許可された人のみ利用できるように設計・対策することで、機密性を高めることができます。
機密性を高める対策として、具体的には以下があげられます。
- 機密情報が格納されたディスクを鍵がかけられたキャビネットの中に格納する
- 共有サーバー内のファイル・フォルダに対してアクセス権限を設定する
- データベースサーバーのアクセスに2段階認証を設定する
- 権限で許可された人のみ、社外へのメール送信を可能にする
- アクセスするためのパスワードを設定する
機密性を高めることで、許可のない人からのアクセスや情報漏洩、改ざんを防ぐことにつながります。
しかしながら、機密性を高めることを意識しすぎてアクセス権限を必要以上に厳しく設定してしまうと、作業効率や情報共有を阻害することにもなりかねません。
そのため、機密性の度合いを精査し、適切なアクセス権限を設定することが大切です。
完全性(Integrity)とは
完全性とは、情報の破壊や第三者による改ざんがなく、常に内容が完全に正しい状態であることです。
完全性が失われる、つまり情報が破壊や損失、改ざんによって正確なものではなくなった場合、その情報は利用価値がなくなってしまいます。
そのため、完全性を維持するための対策が必須です。
完全性を維持するための対策としては、以下のようなものがあります。
- デジタル署名をつける
- 変更履歴・アクセス履歴の保存
- 定期的にバックアップを取得する
例えば、メールや通信データなどにデジタル署名をつけることで、その情報が改ざんされていないことを証明できます。
また、データの変更履歴や、誰かがアクセスした履歴を保存することで、そのデータが不正に改ざんされたものではないことが確認できます。
そして、バックアップがあれば、データが改ざんや破損、消失の被害にあったとしても、復旧させることができます。
可用性(Availability)とは
可用性とは、アクセス許可のある人が、必要なときに情報を扱える状態のことを指します。
これが阻害される要因は、システム障害があげられます。
例えば、停電やサーバー故障、ストレージ故障などで対象のサーバーやデータにアクセスできなくなると、可用性が失われた状態といえます。
このため、重要な情報にいつでもアクセスできるようにするには、可用性が高い設計・運用を行うことが大切です。
可用性を高める対策としては、以下があげられます。
- サーバーやストレージの冗長化
- BCP計画の策定
- クラウドサービスの利用
障害が発生しても、システムを停止することなく情報にアクセスできるようにすることが、可用性を維持する対策といえます。
ただし、可用性を高めるために機器の冗長化やBCPを実現する分コストも発生するため、可用性を高めるポイントを見定める必要があります。
BCPについては、こちらの記事で詳しく解説しています。
BCP対策とは。災害や感染症などからどのようにビジネスを守るか。
\ 漏洩チェッカーなら/
=必要な機能だけ選べて安く使える =
情報セキュリティの3要素に4つが追加された、情報セキュリティの7要素とは
情報セキュリティの7要素とは
「ISO27001」の定義では、情報セキュリティを高める考え方として3要素に加え、4つの要素を含めて特性を維持するとされています。
4つの要素とは、「真正性」「責任追跡性」「否認防止」「信頼性」です。
この4つの要素を加えたものを「情報セキュリティの7要素」と呼びます。
ここでは、追加された4要素について解説します。
真正性(Authenticity)とは
真正性は、「組織や企業が許可したことを確実に証明すること」を指します。
例えば、情報にアクセスする人が、なりすましや不正ログインではなく、アクセスを許可された本人であることを証明するというものです。
真正性を高めるための対策として、以下があります。
- デジタル署名
- 二段階認証
- 指紋認証
- 生体認証
アクセス設定により機密性を高めても、第三者がアクセス権限をもつ人になりすますことができては、セキュリティ対策としては不十分です。
そのため真正性を考慮した上で機密性を高めることが大切です。
責任追跡性(Accountability)とは
責任追跡性は、「企業や個人が行った行為を後から追跡できること」を指します。
例えば、完全性を維持するために残しておいた変更ログやアクセスログをもとに、いつ誰がその情報にアクセスしたかを確認できるようにすることがあげられます。
責任追跡性を高める対策としては、以下があげられます。
- ログイン履歴
- アクセスログ
- オペレーションログ
- システムログ
不正ログインや情報漏洩などのセキュリティインシデントが発生すると、責任追跡性が求められます。
必要なログが不足し行為を追跡できなければ、インシデントの原因を突き止めることができません。
ただログを集めるのではなく、目的に沿って必要なログが集められているか確認しましょう。
否認防止(non-repudiation)とは
否認防止とは、情報や起こった事象があとから否定されないよう、対策を行うことです。
例えば、誰かの行動によって情報漏洩や不正ログインなどセキュリティインシデントが発生した後、後からその行為が否定できないようにします。
誰かが行った行動はシステムログやアクセスログに残りますが、そのログそのものが改ざんできてしまっては、不正行為を否定することができてしまいます。
そのため、残されたログや履歴は改ざんできないようにきちんと保存することが重要です。
これは、真正性を維持すれば、それがそのまま対策となります。
信頼性(Reliability)とは
信頼性とは、システムや情報を利用した動作が必ず意図したとおりの正しい結果を出すことを指します。
例えば、プログラムの不具合や、操作ミスが発生すると、処理後に正しい結果が導き出せません。
そのようなことが起こらないよう、システム開発時に十分な対策を行います。
具体的な対策としては、以下のようなものがあげられます。
- 操作しやすいユーザーインタフェースを設計する
- プログラムが不具合を出しにくい設計を行う
- 誤操作が起こっても、誤った情報に更新したり損失したりしないような処理を入れる
\ 漏洩チェッカーなら/
=必要な機能だけ選べて安く使える =
まとめ
本記事では、情報セキュリティ3要素に加え、4要素を含めた7要素について解説しました。
システムを開発する人や、ITインフラを構築する人は、構築前から情報セキュリティを意識した設計を行うことが大切です。
機密情報を扱う場合は、今回ご紹介した要素を意識し、十分な対策を行いましょう。
UnixやLinuxのVPSならミライサーバー
ミライサーバーは、アシストアップ株式会社が提供している、Unix系サーバーに特化したホスティングサービスです。
ミライサーバーのVPSでは、高速処理が可能なSSDを全プランに搭載しています。
OSは、UbuntuやDebian、AlmaLinuxなどの豊富なラインアップから選択することができます。
2週間無料トライアルを実施しておりますので、まずはお気軽にお試しください。