ISMS取得で知っておくべき情報セキュリティ3要素(CIA)
このページでは、ISMSの取得において知っておくべき3要素(CIA)として、情報セキュリティにおける「機密性」「完全性」「可用性」について解説します。ISMS認証の課題について、CIAの観点からさまざまなケースも紹介していますので、参考にしてみてください。
情報セキュリティ3要素(CIA)とは?
情報セキュリティ3要素(CIA)について、それぞれ解説します。
機密性(Confidentiality)
情報セキュリティの基本的な概念でもある機密性は、権限を持った人だけが情報に触れることができる状態を指します。
情報へのアクセス許可のある人だけが情報の利用や閲覧を利用することができ、許可の無い人は情報の利用や閲覧を制限するのです。
具体的な実装例としては、パスワード、アクセス制御、 PGPによる暗号化、セキュリティ区域への立ち入り制限などがあります。
機密性は、万が一の場合、企業やユーザーにまでリスクが伴う可能性のあるデータに求められることが多い要素です。企業の売上データのような社外秘情報やユーザーの個人情報などがそれにあたり、ECサイトや銀行などの金融機関のような、個人情報を多く扱うサービスでは、機密性は最優先される要素といえます。
完全性(Integrity)
運用されている情報資産が正確であり改ざんされていない状態。データの全てが揃った状態、不整合や欠損がなくアクセスすることが可能なことを保証できる状態のことを指します。
具体的な実装例としては、メッセージ認証符号 (MAC) と呼ばれる数の使用、デジタル署名などがあります。安全性を確保できない場合、外部の攻撃者によって改ざんされた、金額の心当たりのない請求が届くなどの被害が発生する可能性があります。
可用性(Availability)
システムが継続して稼働できる能力を可用性といい、情報へのアクセス権のある人が必要な時に情報にアクセスできる状態を指します。
具体的な実装例としては、システムのクラウド化やハードディスクのRAID構成などがあります。さらに、障害が発生してもシステム全体の機能を維持できるように、平常時から予備としての装置をバックアップとして運用しておきます。万が一、使用しているシステムに障害が生じたときでも、瞬時に切り替えることができれば、企業活動などのダメージを最小限に抑えられるでしょう。

ISMSの認証・維持を困難にするCIAごとのケース
なぜISMSの認証・維持が困難になってしまうのか?CIAごとのケースを例に、それぞれ解説します。
機密性(Confidentiality)でのケース
機密性でのケースで典型的な例としては、機密情報の流出があります。例としては、ECサイトからのユーザー情報の流出や企業からの機密情報の流出などがあり、ニュース報道などで見かけることもあるような事案です。
このような重大な事案は、あまり現実味がなく関係のない出来事のように思えるかもしれませんが、実は普段の業務中にも機密性を脅かす状態が発生しています。
例えば、PCを操作中にファイルを開けたままロックせずに席を離れたり、社外秘の書類をデスクに置いたまま席を離れたりする行為です。やりがちな行為ですが、短時間でもその場にいる誰もが機密情報を簡単に手にできる状態であり、流出も可能な状態と言えるわけです。
完全性(Integrity)でのケース
完全性でのケースで典型的な例としては、情報の改ざんがあります。具体的な例には、個人情報の一部書き換えやWebページ改ざんなどがあります。
金額が改ざんされ、使った憶えのない高額な請求書が届くといった例は、ハッキングによるものもありますが、実はデータの転記ミスでも発生しています。重要度が低い書類のミスであれば、大きな問題に繋がりづらいかもしれません。しかし、データをExcelに転記する際の転記ミスといった日常的に起こりうるミスが原因で、大きなインシデントを引き起こす可能性もあります。データに誤りがないかどうかにも注意が必要です。
可用性(Availability)でのケース
可用性でのケースで典型的な例としては、システム障害があります。
自社のサーバーはもちろん、クラウドサービスやレンタルサーバーに障害が発生し、システムを稼働できない、情報にアクセスできないような事案です。
具体的な例には、書類の紛失などがあります。必要なときに業務書類にアクセスできなければ、それ以降の業務のすべてが停止してしまいます。万が一、紛失という状況になれば、その影響や被害の大きさも莫大なものとなります。
情報セキュリティの7要素
情報セキュリティ7要素について、多くの人が知っている3要素(CIA)以外の4要素をそれぞれ解説します。
真正性(authenticity)
情報セキュリティにおける真正性とは、本物であること。システムや情報などの内容が変更されていないことを指します。
インターネット上でさまざまなやり取りを行う機会が増え、真正性を保つことが重要視されるようになってきました。悪意ある第三者により情報が別のものに置き換えられたり、故意、過失を問わず、データの書き換えミスや消去を防止しなければなりません。
そのため、システムや情報に対してアクセスしようとする人が本当にアクセスすべき人かどうかを担保することは重要な要素です。万が一、関係ない外部の人がシステムや情報に簡単にアクセスできてしまうと、情報漏洩やデータの破壊につながる可能性があるため、認証方法の強化なども重要になります。
責任追跡性(accountability)
責任追跡性は、手順を追跡できるようにすることを指します。技術的には、システムや情報へのアクセスがどのような手順によって行われたのかを、後から参照したり追跡したりできるようにすることです。
責任追跡性を担保するためには、情報を誰かが変更した場合にいつ誰がどの箇所に対してどのような作業を実行したのか証拠を残しておく必要があるため、ネットワークやデータベースなどに対するアクセスログやログイン履歴、操作ログなどを保存しておきます。
また、ネットワークの監視下にあり、不審な通信やアクセスを止めているはずなのに侵入されている場合など、インシデント発生時に手順を追えるようにしておくことで、誰が行ったどのプロセスや手順が要因なのかを判別にも役立つでしょう。
信頼性(reliability)
情報セキュリティにおける信頼性とは、システム稼働への信頼性です。また、システムが期待される性能を発揮し安定稼働を妨げる故障やエラーが生じないなど意図したとおりに作動していることを指します。
否認防止(non-repudiation)
否認防止は、万が一インシデントが発生した場合、その原因となった人から、その行為を行なったことを、後になって否定できないようにすることを指します。
例えば、データが書き換えられたとき、その変更を行った人に「やっていない」と否認される状況を防止することです。技術な方法としては、タイムスタンプ、ログイン履歴の保存、操作ログの保存、アクセスログの保存などをしておくと証拠となり事実を否認できなくなります。
まとめ
ISMSの要件である情報セキュリティ3要素(CIA)。ISMSの取得や維持には3要素の堅持は絶対条件になります。重大なセキュリティインシデントに発展しないよう、社内の情報セキュリティ体制を強化するなど、日頃からしっかりと対策を行っておくことが重要です。
また、自社にある知識・ノウハウでは難しいと判断した際には、取得を支援してくれるコンサルを利用するのもひとつの手段です。ISMS認証取得に興味のある方や運用でお困りの方は、ぜひ問い合わせてみてください。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。