情報セキュリティ3大要素とは何か?情報セキュリティのCIAを解説
情報セキュリティの3大要素とは?
JIS Q 27002では情報セキュリティを「情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい」と定義しています。
この定義に含まれている、「機密性」「完全性」「可用性」の3つは、情報セキュリティの3大要素と呼ばれています。
3つの言葉はそれぞれ「Confidentiality(機密性)」「Integrity(完全性)」「Availability(可用性)」と英語で表記されることから、頭文字を取り、「情報セキュリティのCIA」と呼ばれることもあります。
機密性(Confidentiality)
機密性とは、情報へのアクセス権限が適切に管理されていることです。外部に公開したくない情報に対して、IDとパスワードによるアクセス制限が施されていたり、物理的に隔離された場所に保管されていたりすることが、機密性の高い状態です。
機密性が低いと、情報漏洩などの被害が発生する恐れがあります。また場合によっては、情報が破損されるリスクもあるでしょう。機密性を維持するためには、情報へアクセスできる者を制限することや、IDとパスワード管理の徹底などの対策が有効です。
完全性(Integrity)
完全性とは、情報が改ざんされていなかったり、虚偽の情報でなかったりするなど、情報が正確な状態で保存されていることを表しています。
完全性が低いと、情報が破損して正確なものではなくなる恐れがあり、情報としての価値が損なわれてしまいます。完全性を維持するためには、情報の上書き保存や削除などの操作を適切に行う、誤操作などを防止する、情報管理を徹底する、万が一の情報の破壊に備えてバックアップ体制を整えておく、などの対策が有効です。
可用性(Availability)
可用性とは、アクセス権を持つ者が情報に対して常に安全にアクセスできる状態が維持されていることです。必要な時に情報にアクセスして、目的を達成できることは、高い可用性の条件です。
インターネット上に情報が保存されているクラウドの場合、社内だけでなく社外からもアクセスできることや、テレワーク環境において自宅から社内の情報にアクセスできることも、可用性の高さの指標となるでしょう。
可用性を維持するためには、サーバの性能や機能を見直して、停止時間をできる限り短くすることや、万が一の災害発生時にも、迅速に復旧できる体制を構築しておくことなどが有効です。
情報セキュリティの追加の4要素とは?
情報セキュリティには前述した3大要素に加えて、「真正性(Authenticity)」「責任追跡性(Accountability)」「否認防止(Non-repudiation)」「信頼性(Reliability)」の4つの追加要素が提唱されています。
これら追加の4要素は以下のような意味を持っています。
真正性(Authenticity)
真正性とは、情報へアクセスした者が許可された者であり、そのことを確実に証明できる特性のことを表しています。アクセス制限された情報に対して、適切な者がアクセスしたことを証明するような性質といっても良いでしょう。
この真正性を成り立たせるためには、デジタル署名や二段階認証、多要素認証など本人であることを確実に証明できる技術の導入などが必要となります。
責任追跡性(Accountability)
責任追跡性とは、情報にアクセスした者を追跡できることを表しています。たとえばデータベースやサーバにアクセスされた時に、アクセスログや操作ログを残すことで責任追跡性を満たすことができます。この特性により、情報にとって誰が脅威なのか特定が可能となります。
否認防止(Non-repudiation)
否認防止とは、情報や情報に対する行動について、後から否定できないことを表しています。
情報にアクセスしたり情報を改ざんしたりした時に、ログを残しておけば、後になって本人がそれらの行動を否認できなくなります。否認防止は責任追跡性と同様に各種ログやデジタル署名などの利用で実現できます。
信頼性(Reliability)
信頼性とは、システムやデータを利用した時に意図した動作ができることを表しています。システムやデータは、操作ミスやプログラムのバグ、エラーなどの原因で思うような結果が得られない時があります。
情報を活用するためには、このような不具合が発生しないように信頼性を高めなければなりません。そのためには、設計ミスのないシステムの開発や、操作ミスがあっても情報が失われたり改ざんされたりしない仕組みなどの施策が必要です。
参考
- https://www.jnsa.org/ikusei/01/02-01.html
- https://www.fujitsu.com/jp/solutions/business-technology/security/secure/column/201703-1/
- https://business.ntt-east.co.jp/content/cloudsolution/column-167.html
- https://www.mobi-connect.net/blog/what-is-cia/
- https://enterprisezine.jp/article/detail/4855