FOLLOW US!

情報セキュリティの基本となる、重要な3要素とは?

 

個人情報や機密情報を守るために必要な情報セキュリティは、3つの要素から構成されています。

 

 

この3要素に含まれているのはどのようなことか、詳しく説明していきたいと思います。

 

・情報セキュリティの3要素とは?

 

 

情報セキュリティの3要素は、「Confidentiality(機密性)」「Integrity(完全性)」「Availability(可用性)」の3つです。

 

 

 

それぞれの頭文字を繋げて、CIAとも呼ばれます。
この3つを確保しなければ、情報セキュリティは成り立たないといわれています。

 

 

 

それぞれの項目について、もう少し詳しく説明していきます。

 

 

・Confidentiality(機密性)とは?

 

 

機密性というのは、使用許可を得なければ対象となる情報にアクセスできないようにすることです。

 

 

 

機密性の高い情報といえば、企業であれば顧客の個人情報や新製品の開発情報などが当てはまります。
このような情報については、社内ネットワークからでも必要な時にしかアクセスできないようにロックされているでしょう。
もしくは、決まった端末からしかアクセスできないようにしておき、その入室には特別に許可されたIDカードが必要になるようにしていると思います。

 

 

 

一般的には、アクセスの際に特別なIDやパスワードが必要となるよう設定されています。
ただし、設定されていれば機密性が保たれるというわけではありません。

 

 

 

IDやパスワードをわかりやすいものにしていたり、長い期間変更していなかったりした場合は、結局誰でもアクセスできる状態にあるのと変わりません。
かといって、あまり複雑にしすぎると今度は必要な時にアクセスできなくなってしまうでしょう。
例えば、IDを社長の名前、パスワードを社長の誕生日にしているのであれば、そのことはすぐにわかります。

 

 

 

また、アクセスするときにIDやパスワードを教えているとしても、その後変更していなければ一度アクセスした人はいつでもアクセスできるようになります。
それを防ぐためには、IDやパスワードを時折変更しなければいけません。
かといって、あまり複雑にしすぎて利便性が失われるようなことにはならないよう気を付けたいところです。

 

 

 

また、外部から不正にアクセスして情報を盗み出そうというハッキング被害にあわないように、ファイヤーウォールなどにも気を配らなければいけないでしょう。

 

 

・Integrity(完全性)とは?

 

 

完全性というのは、機密性を確保したアクセス権限が適切だということを保証することです。

 

 

 

以前であれば、ハッキング被害といえば個人情報や機密情報にアクセスし、その情報を持っていくというのが主流でした。

 

 

 

しかし最近では、サーバー内のデータを持ち去らず、内容の改ざんを行うという手口も増えています。

 

 

 

データを改ざんする理由としては、その企業の信用を損なうため、などの目的があります。
情報を盗み出すよりも発覚しにくいため、嫌がらせとしてはこちらの方が向いているようです。

 

 

 

こうした悪意ある外部範囲外にも、火事や落雷などの災害によってデータが壊れる可能性や、失われる可能性などがあります。
全てのデータが消えてしまうようなことがあれば、企業としては大ダメージを受けるでしょう。

 

 

 

システムにそもそもバグがある場合なども、データをおかしくする可能性があるでしょう。

 

 

 

いずれも、データの完全性を損なう原因となります。

 

 

 

データの完全性を確保するためには、データに対するアクセス権限が適切となるようにコントロールして、データに対するアクセスや変更などがあった時、その履歴をさかのぼって確認できるようにチェックする必要があります。

 

 

 

また、データが損なわれた時に備えて、バックアップを厳重にし、データを暗号化して転送・保管できるようにしておくべきでしょう。
前述した機密性にも通じるところがありますが、機密性が保たれてこそ完全性も確保できることになります。

 

 

 

最近ではデータの暗号化や転送しての保管について、ブロックチェーンに注目が集まっています。

 

 

・Availability(可用性)とは?

 

 

3つ目の可用性というのは、情報のセキュリティを保つと同時に必要時にはすぐアクセスできるようにしておくことです。

 

 

 

セキュリティを厳重にしたために、データにアクセスできるのが申請してから12時間後になる、というのではそのデータが使いづらいものとなります。

 

 

 

例えばデータをフラッシュメモリに保管して、オフラインにして金庫へと入れておけば安全性は保たれるでしょうが、必要な時にはいちいち金庫に行って出さなければいけない、となると面倒でしょう。

 

 

 

バックアップの保管であればそれでもいいかもしれませんが、元となるデータについてはすぐにアクセスできる環境をキープしておかなければいけません。
そのためには、上記の機密性と完全性が保たれていることが前提となります。

 

 

 

可用性を実現するためには、データが保管されているサーバーが稼働し続けられるように対策しておくことや、システムを二重にするなどの対策が必要となります。

 

 

 

また、バックアップについてもデータ破損時にはすぐにアクセスできる環境が望ましいでしょう。

 

 

 

例えば、支社がある場合はお互いのデータのバックアップを持っておくようにして、どちらかがデータを破損した場合にはそのデータを受け渡す、といった体制があると安心できるでしょう。

 

 

・情報セキュリティの3要素をどう活用するべきか

 

 

情報セキュリティについて考えるとき、例えばデータの送り先を間違える、名簿など個人情報書類を置き忘れる、ノートパソコンが盗まれるなど、ヒューマンエラーを中心として考えるだけでは不足となります。

 

 

 

情報は、たとえ盗まれていなくても改ざんされることもあり、また天災など人の力が及ばないことで破損する可能性もあります。

 

 

 

また、昨今では個人情報流出などのニュースが多いことで漏洩リスクにばかり気が回ることもありますが、情報はしまい込んでいても価値はありません。

 

 

 

情報は活用して、データの分析をして営業へと利用することで、その価値を発揮するのです。
利用者データを集めて、それをしまい込んでも意味がありません。
そのデータを分析し、どのユーザー層に支持されているか、利用の少ないユーザー層へとアプローチするには何が必要か、また新商品のコンセプトはどうするか、といった分析をしてこそ、情報には価値が出ます。

 

 

 

現在、パソコンを始めとしてIT技術は急速に進歩しています。
今となっては経営戦略上なくてはならないものといえるでしょう。
しかし急速に発展した弊害として、情報セキュリティが追い付いていないケースもよく見受けられます。

 

 

 

正しく情報セキュリティを保ち続けるためには、上記の3つの要素を念頭に置いてセキュリティシステムを構築していかなければいけません。
そうすれば、情報セキュリティとして必要なポイントを押さえながらITを活用していくことができるでしょう。

 

 

・まとめ

 

 

企業において、情報セキュリティというのは重要なものです。

 

 

 

情報セキュリティが整えられていない企業は個人情報を保管することもできず、開発している新商品についても機密を保つことができないため、他社にそのデータが流出し、競争力で優位に立つことが難しくなるでしょう。
また、知らないうちにデータが改ざんされていて、それに気が付かないようなことがあれば大変なことになるでしょう。

 

 

 

しかしその一方で、データというのは、しまい込むだけでは意味がないので、それを活用できるようにしておく必要があります。

 

 

 

そのため、情報セキュリティには機密性完全、そして可用性を確保することを念頭に置いて構築しなければいけません。

 

 

 

この3点を守って情報セキュリティを構築すれば、将来的にも通用するセキュリティとなるでしょう。

 

 

Share

FOLLOW US!