情報セキュリティを語るうえで、基本となる情報セキュリティの3要素。現在では、機密性・完全性・可用性の3つに加えて、真正性・責任追跡性・信頼性・否認防止が追加され、7要素となっています。概念的な言葉でアカデミックな印象があるかもしれませんが、セキュリティ対策を網羅的にチェックできるフレームでもあります。経営層から一般社員まで情報資産を扱うスタッフ各個人に、これらの視点からセキュリティチェックをしてもらうことは、セキュリティ意識向上やリスクの確認にも役立ちます。
目次
1.情報セキュリティ3要素とは
情報セキュリティの3要素とは、ISMS(Information Manegement Security System)の基本と言われ、機密性(confidentiality)・完全性(integrity)・可用性(availability)を指し、セキュリティのCIAとも呼ばれます。
情報セキュリティの3要素 についてJIS Q 27001:2006では以下のように定義しています。
・機密性:認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性
・完全性:資産の正確さ及び完全さを保護する特性
・可用性:認可されたエンティティが要求したときに、アクセス及び使用が可能である特性
広い概念なので抽象的な印象がありますが、例を挙げると、機密性とは漏洩対策ができている状態か、完全性とは改ざん等がされずに正しい情報であるか、可用性とは使いたいときに使える状態であるかを指し、組織内の各情報資産についてこれらを満たした運用をしていきましょう、ということです。
情報セキュリティマネジメントではこの3要素をバランスよく確保した運用が重要になります。
例えば、機密性ばかりを重視して、誰も触れない場所に情報をしまいこんでしまうと、情報を使うことができなくなります(可用性を欠く)。また、適切に権限管理をして使える状態であっても、改ざんされた偽物の情報(完全性を欠く)では意味がありません。3要素のようなフレームでチェックしておけばセキュリティの運用上、漏れが出たり、バランスを欠いたりすることなく情報の活用をすることが期待できます。
2.3要素の具体例
それでは、情報セキュリティの3要素の意味するところを、もう少し具体的に見ていきましょう。
2-1 機密性
アクセスを認められた人だけが決められた範囲内で情報資産にアクセスできることを要求しています。管理者は組織内のユーザーごとにアクセス権限を区別して、権限を持つ者だけが情報資産を使えるように管理します。また、「情報を使用不可又は非公開にする特性」としており、使用させないということだけではなく、漏洩させないことも要求しています。
例えば、フォルダのアクセス権限をプロジェクト関係者に限定する、ファイルにパスワードをかけて関係者しか開くことができない、あるいは使えないようにするといったことは機密性の要求に応えるものです。
2-2 完全性
情報資産の内容が正しい状態であること、情報処理の方法が正しい状態であることを指し、正確さ(間違っていない)・完全さ(不足していない)を要求しています。
例えば、WEBサイトの改ざん・データの改ざんといった被害にあった情報資産は完全性を欠く代表的な例です。
・Iotの普及と完全性
完全性はデータが正確であることを要求しています。Iotの普及により、自動車や家電、医療機器に至るまでネットワーク化が進んでいます。このようなデータが完全性を欠くとどのようなことが起こるでしょうか。例えば、自動運転をネットワークで制御していたが、データが誤っていたため、誤った運転の指示が出てしまう、医療機器と連携したデータに誤りがあり、症状とは関係ない治療の指示が出てしまうようなことも起こりえます。便利なIotも情報セキュリティの完全性を欠くと全く使い物になりません。完全性を担保することは非常に重要なことです。
2-3 可用性
使用可能性のことで必要な人が必要な時に使える状態であることを要求しています。
例えば、システムの冗長化やデータのバックアップなどが適正になされておらず、停電や災害等の有事の際にデータにアクセスできなくなる、サービスの提供ができなくなるのは可用性を保てていないということになります。
・テレワークと可用性
働き方改革のもと、テレワークが徐々に普及し、社外から社内環境にアクセスするケースも増えてきました。社外ネットワークから社内ネットワークに接続する際、可用性が担保されていない場合、社外から必要な情報にアクセスができない事態も起こります。
・ランサムウェアと可用性
ランサムウェアに感染するとデータファイルなどが勝手に暗号化処理され、読みとれない状態になり、「ファイルの復元」を条件に金銭を要求するポップアップウィンドウが表示されます。こうなってしまうとその情報資産は可用性が保ててない状態といえます。
3.セキュリティの7要素
かつての情報セキュリティは上記で見てきた3大要素を見ていましたが、1996年に真正性・責任追跡性・信頼性が、2006年に否認防止が追加されました。
・真正性(authenticity)
「ある主体または資源が、主張どおりであることを確実にする特性。真正性は、利用者、プロセス、システム、情報などのエンティティ に対して適用する」で、本人を認証するシステムを備えていることなどを指します。
・責任追跡性(accountability)
「あるエンティティの動作が、その動作から動作主のエンティティ まで一意に追跡できることを確実にする特性」で、データベースやネットワークのアクセスログを取得しておき、誰が・どの情報に・いつ・どのような操作を行ったかを追跡できるようにすることです。
・信頼性(reliability)
「意図した動作及び結果に一致する特性」で、情報システムを稼働させたとき、故障や矛盾がなく、指定された達成水準を満たしていることを指します。
・否認防止(non-repudiation)
「ある活動又は事象が起きたことを、後になって否認されないように証明する能力」でデジタル署名等により、文書作成者がその文書を作成したのはその人本人であるという事実を否定できないようなことを指します。
4.情報資産を3要素・7要素の視点から考察する
情報セキュリティというと機密性のイメージが強いかもしれませんが、組織内で活用している情報資産は、漏洩のリスク(機密性の担保)、改ざんのリスク(完全性の担保)、使えなくなるリスク(可用性の担保)等を検証し、バランスよく運用していく必要があります。
自組織の情報資産や組織内の各個人が普段接している情報資産について、各要素がどのように保たれているのか、これらの要素を満たさなくなった場合に、自分の業務、自分の組織、あるいは顧客にどのような影響があるのかを考察してみましょう。
セキュリティ担当者にとっては抜け漏れのチェック、情報資産を扱う社員にとってはセキュリティ意識を高めるために役に立つでしょう。組織の情報セキュリティは新入社員からマネジメントまで、情報資産を扱う全スタッフが、何を・どのように守るのかを理解することが大切です。
著者:マカフィー株式会社 マーケティング本部
