情報セキュリティは企業において重要な取り組みと言えますが、情報セキュリティの基本である三大要件を「CIA」と言います。情報セキュリティの対策はその意味を理解し、正しく導入することが重要です。今回はその「CIA」を解説していきます。
ページコンテンツ
情報資産の重要性
情報セキュリティへの意識は年々高まりつつあり、情報の漏えい対策や保護の取り組みに力をいれています。
情報に価値がある時代
企業の資産の中で、「人」「物」「金」は資産としてイメージがしやすいものですが、財務情報や顧客に関する情報もまた同じように企業の大事な資産となります。知的財産の保護などもセキュリティによって守られなければならないものとして重要視されています。製品設計やソースコードなど、情報が漏れてしまった場合は会社の損失につながります。企業競争力や企業パフォーマンスを守るためにも、情報はしっかり保護されなければなりません。
情報セキュリティの必要性
情報は紙やデータで保管されます。紙の情報とデータの情報は媒体が異なるので、それぞれ固有のセキュリティで守る必要があります。情報をデータ化するとユーザビリティは高まるものの、簡単に持ち出せるようになるので、情報セキュリティの意識を高め、厳密に守る必要があります。技術によって情報は保全可能なので、企業や取り組む方法に適したシステムの導入が必要です。
情報セキュリティの三大要件「CIA」を理解する
企業の情報セキュリティ対策は専門部署で対応することも多くありますが、担当者が押さえているべき情報セキュリティの三大要件があります。
1.CIAとは
CIAとはその三大要件である「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の頭文字を取っています。
「機密性」とは、企業にとって漏えいさせてはいけない情報に対して、アクセスできる条件や人員を限定することで、情報漏えいを防ぎ安全を確保することを指します。例えば、開発情報や顧客情報、社員の個人情報などが機密性の高い情報と言えます。これらの情報に対し、保管場所への入退室の管理やID・パスワードによる保護などを行うことを気密性の確保と言います。最もわかりやすいイメージは不正アクセス対策でしょう。
「完全性」は、データ改ざんなどを狙った悪意あるサイバー攻撃や、天災によるデータ破損などに対し、管理しているデータを保護して継続性のある完全なデータを維持することを指します。完全性の確保には、データの読み込み・書き込み、保管、転送などの運用時に、アクセスした人間や改変の履歴を残し、万一の場合には遡って改変前の状態に戻すため、バックアップシステムを充実させ、書き換えによる差異を適宜チェックする作業が含まれます。機密性と併せて運用されることで、データの書き換えの管理とアクセス履歴から、改ざんされた問題箇所を即座に復旧することができるわけです。
「可用性」とはいつでも安全にデータを利用できる状態を指します。例えば、なんらかのトラブルでシステムがダウンしたり、大規模災害によって深刻な障害が発生したりしても、他の被害を受けていないデータセンターにあるバックアップからすぐに復旧できるような、多重化したシステム体制づくりなどが可用性と言えます。システムが安定して稼働するための継続性とも言え、企業活動にとってはなくてはならない要素です。この可用性が確保されていることでシステムにダメージを受けても、企業活動が長期にわたって停止してしまうことがなくなります。
2.機密性の確保
機密性の確保されている状態とは、情報資産に対して正当な権限を持った人のみがアクセスできる状態にしておくことです。重要な情報に対して誰でもアクセス可能な状態では、情報漏えいの危険性は高まります。そのため、情報にアクセスできる人数は限られているべきですし、その人はセキュリティについての知識を持っている人でなければなりません。機密性を確保すべき情報としては以下のようなものが挙げられます。
- 財務情報
- 人事情報
- 顧客情報
- 戦略情報
- 技術情報
特にどの企業でも共通してアクセス制限をかけるべきは人事情報、つまり社員の個人情報です。機密性が確保されていない場合、なりすましの被害や、個人データの盗聴が引き起こされることがあります。
3.完全性の確保
完全性が確保されている状態とは、情報が改ざん・破損されていない正しい状態であることを指します。情報はそれ自体に価値のあるものですが、その情報が知らぬ間に変更されていたとしたらどうでしょうか?一気に情報の信頼性が失われてしまいます。企業の社会的信頼が失われると、競争力の低下を招きますが、一度失われた信頼を取り戻すには多くの時間と努力を必要とします。完全性が確保できなくなってしまう要因としては下記の例があります。
- 外部からの不正アクセス、ハッキング
- 地震や火災によるデータの破損
コンピューターが知らない間にハッキングされてしまうと、遠隔地から操作され、他のサイトへスパムメールを送るといった踏み台にされる危険性も高まります。
4.可用性の確保
可用性の確保とは、データがいつでも利用できる状態になっていることを指します。情報セキュリティシステムの活用や社内での取り組みによって、情報が厳密に守られていたとしても、それが全く見ることができない状態だと企業にとっての損失につながります。
例えばインターネットサイトを運用している人がいるとします。不正アクセスされると、サーバーをシャットダウンしなければなりません。そうなると、インターネットサイトに掲載されていた情報はすべて見られなくなってしまい、これが「可用性が失われた状態」と言えます。
CIAを活かす方法
情報セキュリティ技術は「機密性」「完全性」「可用性」、この三つの要件を確保するために作られています。
制限をかけ機密性を高くする
すぐに取り掛かることのできるのは社内の情報管理ルールを設定することです。パソコンへのログインの際はパスワードを設定する、これは簡単なことなので多くの企業が取り入れています。
しかし、「誕生日などすぐに調べられる簡単なパスワードを設置する」「1234など規則性が簡単なものにする」「パスワードやIDをパソコンのすぐそばに付箋でメモを置く」などの場合には機密性が確保できているとは言えません。パスワードの設定の際は以下の点を心がけましょう。
- 他者の知り得ない自分だけが知っている語句を使う
- 数字だけでなく文字や記号などを組み合わせる
- 付箋やメモなど見える形で近くに置かない
マイナンバー導入によって、社員からマイナンバーを提供してもらっている企業は多いですが、これは特に情報セキュリティ技術によって機密性を確保すべき内容です。機密性確保のために下記の三つは確実に実行しましょう。
- マイナンバーを暗号化する
- 移動経路を保護する
- 収集・保管・利用・廃棄を一元管理する
情報へのアクセスを監視し完全性を守る
サイバー攻撃によって情報の完全性が失われることは最も避けたいところです。ウイルスを検知し防御することも大事ですが、データへのアクセスを履歴で見られるようなシステムを多くの企業が導入しています。どこがどのように変更・改ざんされたのかをチェックできれば、対応もしやすくなります。また、データのバックアップを二重に取っておくのも必要な対策のひとつです。ただ保管するだけでなく、暗号化技術によって転送するため、完全性が守られます。
サイバー攻撃からネットワークを守るための情報セキュリティシステムを導入した場合、動作が重くなるというデメリットもありますが、そのデメリットを解消したシステムもあります。以下のようなシステムだと使いやすい上に完全性が守れると言えるでしょう。
- 国際的な認証を受けている
- ファイルスキャンの必要がない
- 誤検知ゼロ
- 攻撃の段階で脅威を断ち切る
- ネットワーク非接続環境でも動作する
システムの二重化で可用性を確保する
災害時にはデータが完全に失われてしまうことも考えられるため、情報を保管しておくサーバーは複数の地域に置き、バックアップを取ることが必要です。また、完全性を守るために有線LANの使用をしている企業も多いですが、モバイル回線の使用も検討しておきたいところです。近年では、モバイル専用線サービスでもセキュアな通信ができるサービスが登場しています。
可用性のシミュレーション
- 普段はメイン回線で通信
- 障害発生
- バックアップ回線に切り替わり疎通が開始される
- メイン回線への復帰
このように可用性がシステムによって確保できるように、情報セキュリティシステム各社が工夫をしています。
情報セキュリティシステムの導入事例
高校や大学といった学校でも、情報セキュリティシステムは活用されています。特に大学では、授業の情報を知らせるために使われているのです。学生ごとに取っている授業は違いますし、そういった情報も機密性が必要な立派な個人情報なのですが、登録しておけば個別に授業や取得している単位の情報がわかるのです。
完全性を守るために画像管理システムを導入した工場もあります。広い工場内では人が気づかないところでトラブルが起きていることがありますが、高精細の画像を撮影できるシステムのおかげで、どんなトラブルが起きたのか遡れるようになったのです。
また、可用性が高いシステムはATMや自治体の水質監視システムでも活躍しています。ATMでは堅牢なセキュリティも必要ですが、データを瞬時にいつでも使える状態にしなければいけません。それがシステムの導入によって可能になっています。水質監視では、遠隔操作を可能にしたことによって可用性が確保できています。
情報資産を守るために三大要件「CIA」を理解し、活用しましょう
情報資産を守るためには三大要件「CIA」の理解が必要です。情報管理システム導入の際も、「機密性の確保」「完全性の確保」「可用性の確保」ができる内容であるのか、担当者が理解した上で判断することが重要です。情報の漏えいやデータの改ざん等が発生すれば企業にとって非常に大きなダメージとなりますので、三大要件「CIA」を理解しセキュリティ対策を実施することをおすすめします。