「情報セキュリティ3要素（機密性、完全性、可用性）」

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。本メールマガジンでは、中小企業が特に知っておくべきセキュリティ用語について解説していきます。

今回のテーマは、システムの情報セキュリティを考える上で重要な3つの要素（機密性、完全性、可用性）です。

サイバーセキュリティもしくは情報セキュリティと聞いたときに、すぐに思い浮かぶのは「漏えい」あるいは「不正持ち出し」ではないでしょうか。そのようなことから、「うちの会社にはそんな重要な情報はないからサイバーセキュリティは関係ないよ」という声を聞くことがあります。

しかしサイバーセキュリティには「漏えい」や「不正持ち出し」以外にも考えなければならないことがあります。今回はさまざまな脅威から組織の情報資産を守るための大切な３つの要素と、適切な対策方法を解説します。

１．情報セキュリティ

情報セキュリティとは、組織や個人の情報を守ることを意味します。
具体的には、企業活動に必要な情報資産に加えて、そのデータが保管されている媒体やシステムを守ったりすることです。

情報セキュリティマネジメントシステム（ISMS）における情報セキュリティの管理・リスク・制御に関するベストプラクティスがまとめられているJIS Q 27000:2019では、情報セキュリティを「情報の機密性、完全性及び可用性を維持すること」と定義しています。

この「機密性」「完全性」「可用性」の３つを一般的に情報セキュリティの3要素と言います。また、「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」の頭文字をあわせて「CIA」とも呼ばれます。

２．機密性(Confidentiality)

機密性は、アクセスを許可されたユーザだけが情報にアクセスできる状態にしておくことを指します。

独立行政法人情報処理推進機構（IPA）の「中小企業の情報セキュリティ対策ガイドライン 第3.1版」では、「アクセスを許可された者だけが情報にアクセスできる」と説明されています（※１）。「者」は人だけではなくシステムも含まれます。逆に言い換えると、許可されていない者には情報を使用させないということです。

一例として、皆さんの会社における個人の評価へのアクセス権を思い描いてください。対象者と上司、人事部門しか閲覧できないように設定してあるはずです。異なる部門の人や同じ部門であっても、上司ではない同僚などのメンバーはアクセスできないことが「機密性」です。

機密性が保たれていない場合、個人情報や機密の漏えい・悪用により、信頼の喪失や法的な責任を負うリスクが生じます。このことから、機密性の確保は極めて重要とされています。
機密性はシステム的には「アクセス権限の設定」「パスワードの付与」「データの暗号化」などによって実現します。

※１「中小企業の情報セキュリティ対策ガイドライン 第3.1版」
P55「【表12】情報資産の機密性・完全性・可用性に基づく重要度の定義 」より

３．完全性（Integrity）

完全性は、保有する情報が正確かつ完全な状態に保たれていることを指します。

「中小企業の情報セキュリティ対策ガイドライン 第3.1版」では、「情報や情報の処理方法が正確で完全であること」と説明されています。

システムにデータを要求したときに、「要求したすべてのデータが提供され、過不足がないこと」、「提供されたデータが最新であり、間違いがないこと」です。また、データが破損・改ざんされにくいことを示します。
完全性が低いと、正しいデータが提供されません。

完全性を高めるためには、少なくともアクセス履歴や変更履歴のバージョン管理とバックアップの確実な実施が必要です。
バージョン管理により、ファイル変更者や変更内容が確認できるようになります。また、バックアップがあれば、データの損失時や改ざん時に復元が可能になります。

４．可用性（Availability）

可用性は、いつでも情報を利用可能な状態にしておくことを指します。
「中小企業の情報セキュリティ対策ガイドライン 第3.1版」では、「許可された者が必要な時に情報資産にアクセスできる」と説明されています。

可用性を低下させるものとして、「ハードウェアの故障」「サイバー攻撃」などがあります。
ハードウェアの故障に対して「ハードウェアを複数用意して、１つが故障してももう１つで運用できるようにする」、サイバー攻撃に対しては「オフラインバックアップ」などが有効な対策となります。

オフラインバックアップについては、【3分でわかる！セキュリティ用語解説】「3-2-1ルール」で解説しています。

５．3要素の維持はバランスが重要

情報セキュリティを高めるためには、これら3要素の1つのみを高めるのではなく、バランスよく高めることが必要です。
機密性をどんなに高めても、格納されている情報が正しくない（完全性が低い）と、その情報は使えないデータとなってしまいます。また、可用性が低ければ、情報の完全性が高くてもデータを利用できないため業務に影響が出ます。

このようにどれか一つの要素だけを高めてしまうと、業務の利便性や生産性が低下したり、情報漏えいのリスクが高まったりしてしまいます。

情報セキュリティには、「機密性」「完全性」「可用性」の３つの要素をバランスよく高め・維持することが重要です。

参考文献

1．JISQ27000:2019 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－用語 (kikakurui.com) の3.28（情報セキュリティ）
https://kikakurui.com/q/Q27000-2019-01.html
2．中小企業の情報セキュリティ対策ガイドライン 第3.1版-情報処理推進機構（IPA）
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf