ISMS取得で知っておくべき情報セキュリティ3要素(CIA)
このページでは、ISMSの取得において知っておくべき3要素(CIA)として、情報セキュリティにおける「機密性」「完全性」「可用性」について解説します。ISMS認証の課題について、CIAの観点からさまざまなケースも紹介していますので、参考にしてみてください。
情報セキュリティ3要素(CIA)とは?
情報セキュリティ3要素(CIA)について、それぞれ解説します。
機密性(Confidentiality)
情報セキュリティの基本的な概念でもある機密性は、権限を持った人だけが情報に触れることができる状態を指します。
情報へのアクセス許可のある人だけが情報の利用や閲覧を利用することができ、許可の無い人は情報の利用や閲覧を制限するのです。
具体的な実装例としては、パスワード、アクセス制御、 PGPによる暗号化、セキュリティ区域への立ち入り制限などがあります。
機密性は、万が一の場合、企業やユーザーにまでリスクが伴う可能性のあるデータに求められることが多い要素です。企業の売上データのような社外秘情報やユーザーの個人情報などがそれにあたり、ECサイトや銀行などの金融機関のような、個人情報を多く扱うサービスでは、機密性は最優先される要素といえます。
完全性(Integrity)
運用されている情報資産が正確であり改ざんされていない状態。データの全てが揃った状態、不整合や欠損がなくアクセスすることが可能なことを保証できる状態のことを指します。
具体的な実装例としては、メッセージ認証符号 (MAC) と呼ばれる数の使用、デジタル署名などがあります。安全性を確保できない場合、外部の攻撃者によって改ざんされた、金額の心当たりのない請求が届くなどの被害が発生する可能性があります。
可用性(Availability)
システムが継続して稼働できる能力を可用性といい、情報へのアクセス権のある人が必要な時に情報にアクセスできる状態を指します。
具体的な実装例としては、システムのクラウド化やハードディスクのRAID構成などがあります。さらに、障害が発生してもシステム全体の機能を維持できるように、平常時から予備としての装置をバックアップとして運用しておきます。万が一、使用しているシステムに障害が生じたときでも、瞬時に切り替えることができれば、企業活動などのダメージを最小限に抑えられるでしょう。
ISMSの認証・維持を困難にするCIAごとのケース
なぜISMSの認証・維持が困難になってしまうのか?CIAごとのケースを例に、それぞれ解説します。
機密性(Confidentiality)でのケース
機密性でのケースで典型的な例としては、機密情報の流出があります。例としては、ECサイトからのユーザー情報の流出や企業からの機密情報の流出などがあり、ニュース報道などで見かけることもあるような事案です。
このような重大な事案は、あまり現実味がなく関係のない出来事のように思えるかもしれませんが、実は普段の業務中にも機密性を脅かす状態が発生しています。
例えば、PCを操作中にファイルを開けたままロックせずに席を離れたり、社外秘の書類をデスクに置いたまま席を離れたりする行為です。やりがちな行為ですが、短時間でもその場にいる誰もが機密情報を簡単に手にできる状態であり、流出も可能な状態と言えるわけです。
完全性(Integrity)でのケース
完全性でのケースで典型的な例としては、情報の改ざんがあります。具体的な例には、個人情報の一部書き換えやWebページ改ざんなどがあります。
金額が改ざんされ、使った憶えのない高額な請求書が届くといった例は、ハッキングによるものもありますが、実はデータの転記ミスでも発生しています。重要度が低い書類のミスであれば、大きな問題に繋がりづらいかもしれません。しかし、データをExcelに転記する際の転記ミスといった日常的に起こりうるミスが原因で、大きなインシデントを引き起こす可能性もあります。データに誤りがないかどうかにも注意が必要です。
可用性(Availability)でのケース
可用性でのケースで典型的な例としては、システム障害があります。
自社のサーバーはもちろん、クラウドサービスやレンタルサーバーに障害が発生し、システムを稼働できない、情報にアクセスできないような事案です。
具体的な例には、書類の紛失などがあります。必要なときに業務書類にアクセスできなければ、それ以降の業務のすべてが停止してしまいます。万が一、紛失という状況になれば、その影響や被害の大きさも莫大なものとなります。
情報セキュリティの7要素
情報セキュリティ7要素について、多くの人が知っている3要素(CIA)以外の4要素をそれぞれ解説します。
真正性(authenticity)
情報セキュリティにおける真正性とは、本物であること。システムや情報などの内容が変更されていないことを指します。
インターネット上でさまざまなやり取りを行う機会が増え、真正性を保つことが重要視されるようになってきました。悪意ある第三者により情報が別のものに置き換えられたり、故意、過失を問わず、データの書き換えミスや消去を防止しなければなりません。
そのため、システムや情報に対してアクセスしようとする人が本当にアクセスすべき人かどうかを担保することは重要な要素です。万が一、関係ない外部の人がシステムや情報に簡単にアクセスできてしまうと、情報漏洩やデータの破壊につながる可能性があるため、認証方法の強化なども重要になります。
責任追跡性(accountability)
責任追跡性は、手順を追跡できるようにすることを指します。技術的には、システムや情報へのアクセスがどのような手順によって行われたのかを、後から参照したり追跡したりできるようにすることです。
責任追跡性を担保するためには、情報を誰かが変更した場合にいつ誰がどの箇所に対してどのような作業を実行したのか証拠を残しておく必要があるため、ネットワークやデータベースなどに対するアクセスログやログイン履歴、操作ログなどを保存しておきます。
また、ネットワークの監視下にあり、不審な通信やアクセスを止めているはずなのに侵入されている場合など、インシデント発生時に手順を追えるようにしておくことで、誰が行ったどのプロセスや手順が要因なのかを判別にも役立つでしょう。
信頼性(reliability)
情報セキュリティにおける信頼性とは、システム稼働への信頼性です。また、システムが期待される性能を発揮し安定稼働を妨げる故障やエラーが生じないなど意図したとおりに作動していることを指します。
否認防止(non-repudiation)
否認防止は、万が一インシデントが発生した場合、その原因となった人から、その行為を行なったことを、後になって否定できないようにすることを指します。
例えば、データが書き換えられたとき、その変更を行った人に「やっていない」と否認される状況を防止することです。技術な方法としては、タイムスタンプ、ログイン履歴の保存、操作ログの保存、アクセスログの保存などをしておくと証拠となり事実を否認できなくなります。
まとめ
ISMSの要件である情報セキュリティ3要素(CIA)。ISMSの取得や維持には3要素の堅持は絶対条件になります。重大なセキュリティインシデントに発展しないよう、社内の情報セキュリティ体制を強化するなど、日頃からしっかりと対策を行っておくことが重要です。
また、自社にある知識・ノウハウでは難しいと判断した際には、取得を支援してくれるコンサルを利用するのもひとつの手段です。ISMS認証取得に興味のある方や運用でお困りの方は、ぜひ問い合わせてみてください。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。