社内の情報セキュリティを高めるためには、機密性、完全性、可用性の3要素に対する理解を深めたうえで、情報資産を適切に管理する仕組みを確立することが重要です。

この記事では、3要素それぞれの具体例や施策について、詳しく紹介します。

セキュリティリスクアセスメントの手順や、3要素に加えるべき新たな4要素についても、あわせて見ていきましょう。

機密性・完全性・可用性とは

情報セキュリティに欠かせない要素として、以下の3つが挙げられます。

• 機密性（Confidentiality）：情報へのアクセス制限がある
• 完全性（Integrity）：改ざんされていない正確な情報である
• 可用性（Availability）：アクセスを許された者が必要なときに利用できる

これらの3要素は、それぞれの頭文字を取って「CIA」と呼ばれることもあります。

ISMS（情報セキュリティマネジメントシステム）では、CIAを維持することで、企業の信頼性を高めます。

以下では、それぞれの要素について詳しく解説します。

機密性とは

機密性とは、情報が本来アクセスできる人物以外に漏れることがなく、保護された状態であることを指します。

機密性を高めるためには、アクセスできる人物を詳細に制限することが重要です。

ここでは、機密性が重要な情報の具体例を挙げたうえで、実際にどのような施策ができるのかについても解説します。

機密性が重要な情報の具体例

次に挙げる情報は、企業が取り扱う情報の中でも、とくに高い機密性が求められるものです。

• 個人情報顧客や従業員のプライバシーを侵害しないよう、住所、生年月日、電話番号、メールアドレスといった個人の特定が可能な情報を保護する
• 企業秘密研究・開発・技術に関わるデータや、ビジネス戦略、未発表の新サービス情報などは、企業秘密として保護する
• 契約情報クライアントや取引先との契約書、詳細な商談の内容などには高い機密性が求められる
• 法的・規制上の情報訴訟情報、監査情報・報告書などを含む法的な文書のほか、法的要求事項に関連する情報も保護対象になる
• 財務情報業績予測や会計書類、資金調達計画など、企業の財務状況がわかる情報は機密性を保持する必要がある
• セキュリティ情報ネットワーク構成、脆弱性、ログイン情報など、情報セキュリティに関わるデータは適切に管理する

万が一、これらの情報が流出すれば、企業の信頼が失墜するだけでなく、顧客や取引先にも損害を与えかねません。

機密性を高めるための施策

下記は、機密性を高めるための具体的な施策例をまとめたものです。自社の施策を検討するうえでの参考にしてください。

• アクセス制御情報にアクセスできる者を限定する。権限を一部に制限することで、不正アクセスや情報の改ざん、流出を防ぐ
  ACL（アクセス制御リスト）を用いて、組織に合わせたアクセス権限を設定しセキュリティを強化する
• 暗号化データのやり取りや保存する際に暗号化技術を利用し、不正アクセスや紛失などが起きても情報を読み取られないようにする
  デバイスに対する暗号化、ファイルごとの暗号化など、データに合わせて適切な手法を検討するべき
• データ分類機密性レベルで情報資産を分類し、「極秘」「機密」「社外秘」など、それぞれのレベルに応じた保護を実施する
  適切な分類とアクセス制限ののち、コンプライアンスを維持することが大切
• 物理的セキュリティ情報資産の保管場所にセキュリティ対策を実施し、不正なアクセスや盗難、閲覧を防ぐ。ICカードやセキュリティカメラを導入することで、物理的なアクセス制限を設ける
• セキュリティ教育・トレーニング従業員に対してリテラシー教育やセキュリティ研修を実施し、ルールを遵守する意識を高める。定期的にトレーニングを行うことで継続的な向上を図る

機密性を高めるための施策では、必要以上の接触を防ぐ、物理的に隔離する、ヒューマンエラー対策をするといったことが重要です。

完全性とは

完全性とは、情報が正確で、必要なデータが欠損したり改ざんされたりすることなく、すべて揃っている状態であることを指します。

完全性が求められる情報は、その正確さが失われることで、直接的かつ深刻な損害につながりかねません。

ここでは、完全性が重要な情報の具体例と、完全性を高めるための具体的な施策について解説します。

完全性が重要な情報の具体例

下記に挙げるのは、企業が扱う情報のなかでも、特に完全性が求められるものです。

• 金融情報銀行口座やクレジットカード、決済履歴など、金融に関する情報は、不正な変更や改ざんが企業や個人の資産損失につながるため、適正に保存する必要がある
• 顧客情報個人情報や契約の内容、取引内容・履歴など、顧客のプライバシーに関する情報は、信頼関係の維持に直結するため正確性が求められる
• 従業員情報従業員の個人情報、給与情報、勤怠管理といった情報が不正確だと、従業員に不利益を与えるため完全性が重要
• 製品・サービス情報製品、サービスの仕様や価格、在庫状況など、運営に直接的に関わる情報は正確でなければならない
• 法律・規制に関する情報法律や規制情報、コンプライアンスに関するデータは、適切な運用のため完全性が求められる
• 知的財産著作権、商標権、特許などの知的財産は企業の競争力に関わるため、情報の完全性が重要
• 会計・財務情報財務関係の報告書、帳簿、予算データといった財務情報は、経営に関わる意思決定に影響を与えるため正確性が求められる

金銭に関わるものや個人情報に関わるものが多く、一部が改ざんされただけで深刻な状況に陥りかねないものばかりです。

完全性を高めるための施策

下記は、完全性を確保するための具体的な施策をまとめたものです。

• アクセス権限の管理情報へのアクセス権限を適切に管理することで、不正な変更や改ざんを防止するほか、インシデントに対応しやすくする
• データバックアップデータのバックアップを定期的に実行し、万が一データが破損した場合にも正確な情報を復元できるようにしておく
• チェックサムやハッシュ関数データの完全性に異常がないか確認するために、チェックサム、ハッシュ関数を用いてデータの一貫性を検証する
• データ入力・編集の検証データが正確に入力、編集されるよう、入力フォームなどにバリデーション（確認・検証）を設定。データの変更履歴を監査して完全性を保つ

このように、完全性を確保するための施策では、情報が不特定多数に触れないこと、情報が正確かどうかを検証すること、確実に保存することなどが求められます。

可用性とは

可用性とは、情報システムへのアクセス、要求に対して、いつでもリソースが適切に提供されることを指します。

可用性が高い状態では、管理者のもとで許可された人が不便なくアクセスできることはもちろん、以下のようなケースに当てはまる場合が多いでしょう。

• 適切なタイミングでデータにアクセスできる
• システムダウンの時間が最小限
• システムの動作、パフォーマンス適切
• ネットワークやサービスが正常に機能している
• 災害や障害発生時の復旧プランが整備されている

可用性が重要な情報の具体例

企業が扱う情報のうち、特に可用性が重視されるものを、下記にまとめました。

• 顧客データベース顧客情報、取引履歴など、お客様に関する重要な情報が含まれるデータベースは、カスタマーサポートや営業活動などに重要な役割を果たす
• 財務情報財務状況や経営指標のような企業経営に関わる重要な情報は、速やかな意思決定や戦略策定に欠かせない
• 社内文書社内の業務マニュアル、契約書、報告書といった文書は、スムーズな業務遂行やコンプライアンス管理に必要
• システムやアプリケーション業務システムやアプリケーションが正常に稼働し、適切な人物がアクセスできることが効率的な業務遂行につながる
• 電子メール電子メールにはさまざまな情報が記載されるため、適切な人物がアクセスできることが重要

スムーズに業務を遂行したり、迅速に意思決定をしたりするために必要な情報には、可用性の高さが求められます。

可用性を高めるための施策

下記は、可用性を高めるための具体的な施策をまとめたものです。

• 冗長化サーバーやネットワーク機器の冗長化は有効な手段。
  冗長化とは、システムに障害が発生した際にも業務が遂行できるよう、予備設備やシステムを平時から動作させておく
• バックアップ重要なデータやシステムのバックアップを定期的に行い、障害、それによるデータの損失が生じた場合、迅速に復旧できるように対策しておく
• メンテナンス定期的にネットワークやシステムのメンテナンスを実施し、障害の発生、パフォーマンスの低下などを未然に防ぐ
• 監視リアルタイムでシステムとネットワークの状況を監視し、異常を検知した場合には速やかに対処する

このように、可用性を高めるための施策では、トラブルの防止に努めることはもちろん、万が一の事態も想定した準備が求められます。

セキュリティリスクアセスメントにおける機密性・可用性・完全性

ISMSでは、企業のセキュリティリスクを特定、分析、評価するためのプロセスとして「セキュリティリスクアセスメント」を定めています。

セキュリティリスクアセスメントでは、情報資産の重要度に合わせ、機密性・完全性・可用性の観点からリスクレベルの判断が可能です。

実施する際の手順は次のとおりです。

1. 重要度に応じてリスクレベルを判定する
2. 発生率からリスクレベルを判定する
3. 対象となる情報の脆弱性からリスクレベルを判定する
4. リスク値を算出する

各手順について詳しく見ていきましょう。

①重要度に応じてリスクレベルを判定する

はじめに、情報資産の重要度に応じて、リスクレベルを判定しましょう。

機密性では情報の公開範囲、完全性ではリスクが顕現化した場合の影響範囲、可用性ではシステムの停止から復旧までにかかる日数の許容範囲をそれぞれ参考に、1〜3のレベルを設定します。

このレベルが高いほど、情報資産の重要度が高いことを表します。

	機密性	完全性	可用性
レベル1	社外公開可能	社内の一部のみ影響	数日利用不可能でも問題ない
レベル2	社内公開可能	社内のみ影響	当日中に復旧する必要がある
レベル3	関係者のみ公開	社内外に影響	停止できない

なお、リスク判定では、3要素のうちもっともレベルが高い数値を採用します。

例えば、「機密性2・完全性1・可用性3」であった場合、重要度のリスクレベルは3とみなします。

②発生率からリスクレベルを判定する

次に、発生率のリスクレベルを判定しましょう。発生率も重要度と同じく、1～3のレベルを設定します。

• レベル1：発生確率低（ほぼ発生する可能性がない）
• レベル2：発生確率中（発生する可能性はあるが、頻度は低いと予想される）
• レベル3：発生確率高（ほぼ確実な発生が予想され、頻発の可能性がある）

例えば、社用のノートPCを社外で使用するケースでは、端末のセキュリティを自社で管理できるものの、ヒューマンエラーにより物理的に紛失する可能性がないとは言い切れないことから、発生率のリスクレベルは2とみなされるでしょう。

③対象となる情報の脆弱性からリスクレベルを判定する

続いて、脆弱性のリスクレベルを判定します。こちらも1～3のレベルを設定しましょう。

• レベル1：脆弱性低（適切に管理されている）
• レベル2：脆弱性中（管理方法に改善の余地がある）
• レベル3：脆弱性大（管理されていない）

例えば、重要資料であるにも関わらず鍵のないキャビネットで保管されるような危険なケースは、脆弱性のリスクレベルは3とみなされます。

④リスク値を算出する

重要度、発生率、脆弱性の3つのリスクレベルを判定したら、これらをかけ合わせることで、最終的なリスク値を決定します。

企業は、この計算によって導き出したリスク値に応じて優先順位を決め、必要に応じた対応を行います。

また、リスク値ごとの緊急性の目安は次のとおりです。

• リスク値16以上：緊急対応が必要
• リスク値12以上：追加対応必要
• リスク値2以下：可（経過観察）

例えば、発覚した情報資産のリスクレベルが「重要度3：発生率2：脆弱性3」だった場合の計算式は、以下のとおりです。

【例】3（重要度）×2（発生率）×3（脆弱性）＝18

この例における「リスク値18」という数値は、緊急対応が必要な状況であると判断できます。

機密性・完全性・可用性に加えるべき新たな4要素

ビジネスの多様化や、サイバー攻撃の巧妙化によって、情報セキュリティの重要性は年々高まっています。

セキュリティレベルをより高めるのであれば、ここまでに紹介した機密性、完全性、可用性の3要素に加えて、以下の4要素も加えると効果的です。

• 真正性
• 信頼性
• 責任追跡性
• 否認防止

それぞれの要素について、詳しく解説します。

真正性

真正性とは、データにアクセスしている人物やシステムが「アクセスを許可された者であること」、つまり、なりすましによる偽物ではないことを証明することです。

例えば、情報資産に対してアクセス制限がなく、誰でも閲覧・編集できるような状態は、真正性が低いといえます。

真正性を高め、情報資産を適切に保管するための施策としては、以下のようなものが挙げられます。

• デジタル署名
• 二段階認証
• 多要素認証（生体認証を含む）

信頼性

信頼性とは、ユーザーの意図したとおりにシステムが動作することです。

万が一、ヒューマンエラーやプログラムの不具合によってデータ処理に異常が生じ、意図していない改ざんが行われた場合は、信頼性は失われます。

信頼性を高めるための施策としては、以下のようなものが挙げられます。

• システムの不具合が起きにくい設計を検討して構築
• ヒューマンエラーを防ぐためのルールやマニュアルの策定

責任追跡性

責任追跡性とは、ユーザーの動きを追跡することで、誰が何にアクセスし、どのような操作をしたのかを把握することです。

これにより、セキュリティインシデントが発生した際に、原因になった操作を特定したり、不審な操作に気付きやすくなったりします。

また、行動の追跡は、責任の所在を明らかにするだけでなく、迅速な対応や、新たなセキュリティ対策の検討につながります。

責任追跡性を高める具体的な施策は、次のとおりです。

• アクセスログ
• システムログ
• 操作履歴
• ログイン履歴
• デジタル署名

このような履歴を記録しておくことで、スピーディーなインシデント対応が可能です。

否認防止

否認防止とは、情報に問題が生じた際、あとから否定されないように証明しておくことです。

例えば、ユーザーが情報にアクセスして変更や削除などを行った際に、その行為を後々否定できないようにします。

否認防止のための施策としては、データへのアクセス履歴や、行動の記録を残しておくといった措置が有効です。

これらは、先に述べた責任追跡性の施策である「デジタル署名」や、「各種ログ」の利用で実現できます。

（まとめ）情報セキュリティの3要素と7要素を押さえてセキュアな環境を構築しよう

企業が保有する情報資産は、顧客データ、財務状況、開発・技術情報など多岐にわたります。

万が一、これらに改ざんや流出といったトラブルが起きれば、社会的な信用の低下や経済的な損失を招きかねません。

企業には、情報セキュリティに重要な、機密性・完全性・可用性に加えて、真正性、信頼性、責任追跡性、否認防止といった要素も重視しながら、情報資産を適切に管理することが求められます。

これらの要素を強化するためには、総合的なセキュリティ対策を行うUTMの導入が効果的です。

FLESPEEQ UTMは、ファイアウォールをはじめとする、複数のセキュリティ機能を搭載しているため、さまざまな攻撃から情報資産を保護します。

また、障害発生時等の保守も対応しているため、可用性の高いシステムのご提供が可能です。インターネットとセットになったクラウド型のUTMであれば、管理負担の軽減も図れます。

FLESPEEQは、オフィスICTのお悩みをすべてサポートする相談窓口です。自社に適したセキュリティがわからない、人員が不足しているなど、どのようなお悩みでもサポートいたします。

オンライン相談会も無料で開催しておりますので、お気軽にお問い合わせください。

日本通信ネットワークは、企業ごとに、企画立案から構築・運用までワンストップで、ICTソリューションサービスを提供しています。
IT担当者様が、ビジネス拡大や生産性向上のための時間を確保できるよう、全面的に支援します。
お問い合わせ・ご相談・お見積りは無料ですので、お気軽にお問い合わせください。