情報セキュリティの3要素と7要素って？CIAの意味と基礎を解説

情報セキュリティの3要素とは

 

情報セキュリティの3要素とは、企業の機密情報などの重要情報の改ざんや消失、物理的な破損を防止し、安全に情報を取り扱うために心掛ける要素を定義したものであり、具体的には以下の3つのことを指しています。

• 機密性（Confidentiality）
• 完全性（Integrity）
• 可用性（Availability）

情報セキュリティの3要素は「CIA」とも呼ばれており、上記にあるように英語表記の頭文字を取って「CIA」と略されています。
なお情報セキュリティの3要素は、それぞれ次のような意味を持ち合わせています。

機密性（Confidentiality）

「機密性（Confidentiality）」とは、特定人物のみに対して、企業が保有する個人情報や機密情報などの情報へのアクセス権限の許可や設定をすることで、特定人物以外のアクセスを防止する考え方です。外部への情報漏えい防止を徹底することで、企業が保有する情報への高い機密性を保持することが可能となります。

反対に、企業の保管する情報が誰でもアクセス可能であれば機密性の低い状態となり、情報漏えいや情報の破損といったことにつながるリスクもあります。

このような機密性を向上させるには、アクセスコントロールのルールを設定したり、パスワード認証などの対策が用いられます。機密性を保持する例としては、情報資産へのアクセス権限を一部だけに限定したり、ID・パスワード管理の徹底などが挙げられます。

完全性（Integrity）

「完全性（Integrity）」は、情報が第三者により改ざんされたり、虚偽のデータが作られたりすることなく、過不足のない正確な情報のまま保持されている状態のことです。
悪意の有無に関係なく、もしこの完全性が失われた場合、データの正確性が疑われ、データの利用価値が失われてしまいます。
もし完全性が少しでも崩壊すると、情報の信頼性に限らず企業としての信頼を失うことにもつながりかねません。

また故意でない情報・データの上書きや削除など、内部における完全性をしっかり意識しておくことも企業にとっては重要です。

可用性（Availability）

「可用性（Availability）」は、正当なアクセス権限を付与された人が、情報へいつでも安全に利用できる状態です。必要なタイミングで情報へアクセスができ、目的が到達するまでアクセスやデータ処理が中断されないシステムは、可用性の高いシステムと言えます。

たとえば、クラウドサービスであれば、PCやタブレットからいつでもアクセスできたり、ファイルなども編集が可能です。
また、テレワークを取り入れている場合であれば、自宅から社内サーバーへスムーズにアクセスでき、データが閲覧可能な状態であることを指します。

企業が可用性を保つためには、システムサーバーの見直しを実施したり、災害時の復旧対策なども今一度見直すといいでしょう。

追加された情報セキュリティの7要素とは

 

情報セキュリティには、先ほど挙げた3要素に加え、新たに４つの要素が含まれたことで、現在では情報セキュリティ7要素が提唱されています。

• 真正性（Authenticity）
• 信頼性（Reliability）
• 責任追跡性（Accountability）
• 否認防止（non-repudiation）

では、新たに追加された４つの要素についても、どのような意味を持っているのかみていきましょう。

真正性（Authenticity）

「真正性（Authenticity）」とは、情報が正しいものであり、かつそれを証明できることを指し、「組織や企業が主張する通りである」と確実にする特性とも言えます。具体的な例を挙げれば、情報にアクセスする利用者が本人であることを確認し、明確にすることで、なりすましの防止や不正ログイン防止対策が可能となります。

真正性を保持するために、企業ではデジタル署名や指紋・静脈・声紋などの生体認証などを用いて対策していることが多く、情報セキュリティにおいても重要な項目となります。

信頼性（Reliability）

「信頼性（Reliability）」は、データやシステムを利用する際に、意図した通りに動作が行われているかを示す特性となります。

システムの不具合・バグ、操作ミスによるヒューマンエラーなどにより、データやシステムが正常に動かなくなることや、意図せずに改ざんされることも少なからずあります。
そのため、情報セキュリティは信頼性を高めるためにも、システムの不具合等を起こさないようなシステムの設計や構築を行うことが必要となります。

責任追跡性（Accountability）

「責任追跡性（Accountability）」は、企業や個人などが行った動きを追跡できる特性となります。

データへのアクセス状況や、閲覧したデータの操作ログを残すことで、いつ誰がどのような行為に至ったのかを可視化することができます。
もし仮にインシデントが発生した場合、データの追跡記録の証拠があると犯人を特定することも容易となります。

否認防止（Non-repudiation）

否認防止は、情報に関する事象や行動が、後から否認されないよう証明する特性となります。
もし仮に、情報漏えいや不正アクセスにより、データの書き換えが起きた場合、改ざんされたデータの内容を否認しなければなりません。もし否認防止が十分に機能していないとトラブルにつながることも大いにえられます。
そのような場合に備えて、アクセスログ・操作ログ、デジタル署名などを残すことで、本人が後からその事象に対して否認できないよう防止することができます。

昨今において、企業や個人であっても情報資産を多く取り扱うことから、今一度徹底したセキュリティ対策が必要となってきています。今回ご紹介した情報セキュリティの7要素をしっかり念頭に置き、セキュリティ対策を行っていきましょう。

ITシステムを活用する企業や団体の方は、以下の記事も併せてチェックしておきましょう。
≫IT資産管理って？必要性やメリット、基礎知識を解説！

CIAは情報セキュリティの国際基準

 

情報セキュリティの3要素であるCIAは、ISOやIECなどの団体により、情報セキュリティの国際標準として定められています。なお、ISOやIECには、以下のような違いがあります。

• ISO（国際標準化機構）：品質や環境のほか、さまざまな国際標準を作成する
• IEC（国際電気標準会議）：電気、電子技術の国際基準を制定する

そもそもCIAの概念は、1992年に「OECD（経済協力開発機構）情報セキュリティガイドライン」（2002年に改訂）が発行されたことにより誕生しました。

その後、ISOやIECが定めた国際標準規格「ISO/IEC17799」や「ISO/IEC27001」により、情報セキュリティに関する基準は国際的に統一されています。
そのほかCIAの考え方は、国際規格を日本版として出版した日本工業規格「JISＸ5080」、経済産業省が主管となる「ISMS（情報セキュリティマネジメントシステム）適合性評価制度」においても取り入れられています。

企業にできる情報セキュリティ対策

 

企業の大小に関わらず、企業活動をする上でスマートフォンやタブレットなどのモバイルデバイスを使用するケースが増えてきています。モバイルデバイスは社内外問わず気軽に持ち運ぶことができるので、外出の多い社員にとっては、欠かせないツールであることを実感する人も多いでしょう。

しかし、その一方で情報の漏えい防止をはじめとする情報セキュリティ対策の重要性も高まってきています。ここでは、そうした課題を踏まえて、実際に企業にできる情報セキュリティ対策をご紹介します。

MDMを導入してセキュリティ対策を強化！

企業の情報セキュリティ対策に対して役立つツールが、MDMと呼ばれるモバイルデバイス管理です。
MDMは、複数のモバイルデバイスを一元的に管理・運用することに加え、企業のセキュリティを維持・強化することができます。たとえば、MDMを利用すると、遠隔地からの端末をロック・初期化する機能により、紛失・盗難時の第三者による不正利用対策が行えたり、アプリの配布・更新、デバイスの機能制限なども行えます。
このように企業では、MDMを導入し社員の端末を一元管理・監視することで、企業の情報セキュリティーポリシーに合せた運用を実現することが可能となります。

弊社が提供するMDM「mobiconnect（モビコネクト）」を導入した企業事例や製品情報については、以下で詳しくご紹介しています！
≫企業でのMDM導入事例や製品カタログはこちらをチェック！

まとめ

 

今回は、情報セキュリティの7要素とCIAの意味や、企業にできる情報セキュリティ対策についても解説してきました。それぞれの要素は、改ざんやミスなどがない正確な情報を保持するため大切な事項となります。

企業の情報資産を安全に活用していくためには欠かせない内容となるので、企業の情報システム担当者をはじめとした情報管理に携わる方は、こうした要素をしっかり理解しておくようにしましょう。