セキュリティ

セキュリティ担当者必見!情報資産を守る三大要件「CIA」とは

情報セキュリティは企業において重要な取り組みと言えますが、情報セキュリティの基本である三大要件を「CIA」と言います。情報セキュリティの対策はその意味を理解し、正しく導入することが重要です。今回はその「CIA」を解説していきます。

情報資産の重要性

情報セキュリティへの意識は年々高まりつつあり、情報の漏えい対策や保護の取り組みに力をいれています。

情報に価値がある時代

企業の資産の中で、「人」「物」「金」は資産としてイメージがしやすいものですが、財務情報や顧客に関する情報もまた同じように企業の大事な資産となります。知的財産の保護などもセキュリティによって守られなければならないものとして重要視されています。製品設計やソースコードなど、情報が漏れてしまった場合は会社の損失に繋がります。企業競争力や企業パフォーマンスを守るためにも、情報はしっかり保護されなければなりません。

情報セキュリティの必要性

情報は紙やデータで保管されます。紙の情報とデータの情報は媒体が異なるので、それぞれ固有のセキュリティで守る必要があります。情報をデータ化するとユーザビリティは高まるものの、簡単に持ち出せるようになるので、情報セキュリティの意識を高め、厳密に守る必要があります。技術によって情報は保全可能なので、企業や取り組む方法に適したシステムの導入が必要です。

情報セキュリティの三大要件「CIA」を理解する

企業の情報セキュリティ対策は専門部署で対応することも多くありますが、担当者が押さえているべき情報セキュリティの三大要件があります。

1.機密性の確保

機密性の確保されている状態とは、情報資産に対して正当な権限を持った人のみがアクセスできる状態にしておくことです。重要な情報に対して誰でもアクセス可能な状態では、情報漏えいの危険性は高まります。そのため、情報にアクセスできる人数は限られているべきですし、その人はセキュリティについての知識を持っている人でなければなりません。機密性を確保すべき情報としては以下のようなものが挙げられます。

  • 財務情報
  • 人事情報
  • 顧客情報
  • 戦略情報
  • 技術情報

特にどの企業でも共通してアクセス制限をかけるべきは人事情報、つまり社員の個人情報です。機密性が確保されていない場合、なりすましの被害や、個人データの盗聴が引き起こされることがあります。

2.完全性の確保

完全性が確保されている状態とは、情報が改ざん・破損されていない正しい状態であることを指します。情報はそれ自体に価値のあるものですが、その情報が知らぬ間に変更されていたとしたらどうでしょうか?一気に情報の信頼性が失われてしまいます。企業の社会的信頼が失われると、競争力の低下を招きますが、一度失われた信頼を取り戻すには多くの時間と努力を必要とします。完全性が確保できなくなってしまう要因としては下記の例があります。

  • 外部からの不正アクセス、ハッキング
  • 地震や火災によるデータの破損

コンピューターが知らない間にハッキングされてしまうと、遠隔地から操作され、他のサイトへスパムメールを送るといった踏み台にされる危険性も高まります。

3.可用性の確保

可用性の確保とは、データがいつでも利用できる状態になっていることを指します。情報セキュリティシステムの活用や社内での取り組みによって、情報が厳密に守られていたとしても、それが全く見ることができない状態だと企業にとっての損失に繋がります。

例えばインターネットサイトを運用している人がいるとします。不正アクセスされると、サーバーをシャットダウンしなければなりません。そうなると、インターネットサイトに掲載されていた情報はすべて見られなくなってしまい、これが「可用性が失われた状態」と言えます。

CIAを活かす方法

情報セキュリティ技術は「機密性」「完全性」「可用性」、この三つの要件を確保するために作られています。

制限をかけ機密性を高くする

すぐに取り掛かることのできるのは社内の情報管理ルールを設定することです。パソコンへのログインの際はパスワードを設定する、これは簡単なことなので多くの企業が取り入れています。

しかし、「誕生日などすぐに調べられる簡単なパスワードを設置する」「1234など規則性が簡単なものにする」「パスワードやIDをパソコンのすぐそばに付箋でメモを置く」などの場合には機密性が確保できているとは言えません。パスワードの設定の際は以下の点を心がけましょう。

  • 他者の知り得ない自分だけが知っている語句を使う
  • 数字だけでなく文字や記号などを組み合わせる
  • 付箋やメモなど見える形で近くに置かない

マイナンバー導入によって、社員からマイナンバーを提供してもらっている企業は多いですが、これは特に情報セキュリティ技術によって機密性を確保すべき内容です。機密性確保のために下記の三つは確実に実行しましょう。

  • マイナンバーを暗号化する
  • 移動経路を保護する
  • 収集・保管・利用・廃棄を一元管理する

情報へのアクセスを監視し完全性を守る

サイバー攻撃によって情報の完全性が失われることは最も避けたいところです。ウイルスを検知し防御することも大事ですが、データへのアクセスを履歴で見られるようなシステムを多くの企業が導入しています。どこがどのように変更・改ざんされたのかをチェックできれば、対応もしやすくなります。また、データのバックアップを二重に取っておくのも必要な対策のひとつです。ただ保管するだけでなく、暗号化技術によって転送するため、完全性が守られます。

サイバー攻撃からネットワークを守るための情報セキュリティシステムを導入した場合、動作が重くなるというデメリットもありますが、そのデメリットを解消したシステムもあります。以下のようなシステムだと使いやすい上に完全性が守れると言えるでしょう。

  • 国際的な認証を受けている
  • ファイルスキャンの必要がない
  • 誤検知ゼロ
  • 攻撃の段階で脅威を断ち切る
  • ネットワーク非接続環境でも動作する

システムの二重化で可用性を確保する

災害時にはデータが完全に失われてしまうことも考えられるため、情報を保管しておくサーバーは複数の地域に置き、バックアップを取ることが必要です。また、完全性を守るために有線LANの使用をしている企業も多いですが、モバイル回線の使用も検討しておきたいところです。近年では、モバイル専用線サービスでもセキュアな通信ができるサービスが登場しています。

可用性のシミュレーション

  1. 普段はメイン回線で通信
  2. 障害発生
  3. バックアップ回線に切り替わり疎通が開始される
  4. メイン回線への復帰

このように可用性がシステムによって確保できるように、情報セキュリティシステム各社が工夫をしています。

情報セキュリティシステムの導入事例

高校や大学といった学校でも、情報セキュリティシステムは活用されています。特に大学では、授業の情報を知らせるために使われているのです。学生ごとに取っている授業は違いますし、そういった情報も機密性が必要な立派な個人情報なのですが、登録しておけば個別に授業や取得している単位の情報が分かるのです。

完全性を守るために画像管理システムを導入した工場もあります。広い工場内では人が気づかないところでトラブルが起きていることがありますが、高精細の画像を撮影できるシステムのおかげで、どんなトラブルが起きたのか遡れるようになったのです。

また、可用性が高いシステムはATMや自治体の水質監視システムでも活躍しています。ATMでは堅牢なセキュリティも必要ですが、データを瞬時にいつでも使える状態にしなければいけません。それがシステムの導入によって可能になっています。水質監視では、遠隔操作を可能にしたことによって可用性が確保できています。

情報資産を守るために三大要件「CIA」を理解し、活用しましょう

情報資産を守るためには三大要件「CIA」の理解が必要です。情報管理システム導入の際も、「機密性の確保」「完全性の確保」「可用性の確保」ができる内容であるのか、担当者が理解した上で判断することが重要です。情報の漏えいやデータの改ざん等が発生すれば企業にとって非常に大きなダメージとなりますので、三大要件「CIA」を理解しセキュリティ対策を実施することをおすすめします。

脅威を探すのではなく、徹底的にまもりぬく!次世代型セキュリティソリューション
AppGuard製品ページ:https://www.daikodenshi.jp/daiko-plus/security-appguard/

関連記事

  1. セキュリティ

    ランサムウェアとは?セキュリティ担当が知るべき感染経路と対策方法

    ランサムウェアは悪意のあるソフトウェア(マルウェア)の一種です。2…

  2. セキュリティ

    ランサムウェアの事例7選|世界的な大規模感染事例から国内事例まで

    悪意をもってPC内に侵入し不正を行うマルウェアのうち、PCをロック…

  3. セキュリティ

    【不正アクセス対策の新手法】脅威を検知しない?! OSプロテクト型セキュリティとは

    近年、巧妙化するマルウェアによる被害のニュースは後を絶えず、従来の…

  4. セキュリティ

    EPP・EDRでは不充分! セキュリティ先進企業が実践「OSプロテクト型」対策とは?

    日々脅威を増し続けるサイバー攻撃。そのような中、マルウェアの侵入を…

  5. セキュリティ

    他人事ではない標的型攻撃!具体的な事例と被害に遭わないための対策

    悪意をもってPCやサーバーに攻撃を加えるサイバー攻撃には、さまざま…

  6. セキュリティ

    もし万が一感染してしまったら?マルウェアの具体的な特徴と駆除の方法

    PCを使用する上で気をつけたいのは、悪意をもってなんらかの被害をも…

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。