情報セキュリティ3要素は、情報セキュリティの基礎にあたる機密性・完全性・可用性の3原則を指しており、情報セキュリティマネジメント認証規格ISMSではこの3原則を保持できる管理体制が必要とされています。
これらの3要素が確保できていないということは、すでに情報インシデントが起きていてもおかしくない状態です。
企業として、外部からの信頼性を損ないビジネス上の大きな損失となります。
近年では、この3要素に真正性・信頼性・責任追跡性・否認防止の4つを加えた情報セキュリティ7要素が、企業の情報セキュリティに求められるスタンダードとなってきました。
本記事では、情報セキュリティ3要素と4つの要素を加えた情報セキュリティ7要素について、概要を説明します。
また、ISMS認証取得をお考えの方へ、取得に必要なプロセスをまとめた資料を無料で配布しています。抜け漏れない認証取得にお役立てください。
情報セキュリティ3要素とは
ISMSとは、企業の情報セキュリティマネジメントに関する仕組みを指します。
企業が適切にISMSを構築できているかの認証として、国際規格のISO27001や、その日本語版である JIS Q 27001が存在します。
これらの認証規格において情報セキュリティの3要素である「機密性」「完全性」「可用性」を保持できる管理体制が要求されていて、つまり、3要素を守っていることの客観的な証明として、ISMS認証があるのです。
万が一、3要素を満たさず、情報が漏えいしてしまった場合、事業者として大きな損害となることが想定されます。
そうならないよう、情報をどう管理するか再確認しましょう。
また、適切な情報管理ができていない場合、外部からの信頼が低下するだけでなく、せっかく保有している情報資産を事業に活用できず、経営の効率自体が下がってしまいます。
では、機密性・完全性・可用性とは、それぞれ何を意味するのか、管理策と共にご紹介します。
※ISO27001 規格は 2022 年に改訂され、取得企業は対応が必須です。変更点と取るべき対応をまとめた資料を無料で配布しています。ぜひご一読ください!
機密性
機密性とは、情報が漏えい・暴露を受けないように管理をすることを意味しています。
3要素のうち、一番イメージがつきやすいかもしれません。
不正アクセス対策などが一般的に上げられます。
不正アクセスを受けないために、まずは、情報にアクセスできる人間を最小限にしておくことが必要です。各ユーザに ID やパスワードを設定し、ユーザごとにアクセス権を限定しましょう。
情報にアクセスするべきユーザだけが適切に情報にアクセスでき、それ以外のユーザはアクセスできない、必要十分の状況を作ります。
機密性を保持するための対策をもう少し詳しく見ると、次のように分類できます。
- 技術的管理策
-
- アクセスコントロールができるソフトウェアを使用する
- 侵入を検知する装置をネットワークに付ける
- 物理的管理策
-
- 机の上に機密情報を放置させないようにモニタリングする
- セキュリティカードを使って、立ち入りができる区域や部屋を限定する
- 施錠を必要なところに施して、紙情報の暴露を避ける
各種の認証規格に適合するには、機密性を保つために以上のような管理策が必要とされます。
ただ、必要な対策の種類や程度は組織によって様々ですので、自社に合った対策を取っていただければと思います。
完全性
完全性は、もう少しその要素を分解してみるとわかりやすくなります。
分解したものが下記の三点です。
- 情報に間違いがないこと
- 情報が最新のものであること
- 情報に欠けていることがないこと
3要素の中で最もイメージがわかりにくい完全性ですが、情報が正確・最新で利用に耐える状態でないと、役に立たないという当たり前のことを意味しているものです。
完全性も、情報管理体制により守られることが重要です。
完全性は、さらに次の2種類の完全性に分かれます。
- 物理的完全性
- 論理的完全性
物理的完全性は、おおむね情報が正確・最新・欠けていることがないことを意味しますが、論理的完全性とは、情報を保管するサーバやコンピュータ・クラウドサービスでの位置情報・ドメイン情報等、論理的な制御がついていることを意味しています。
これらの完全性を備えるようにするためには、機密性を保持するためのアクセス管理とパラレルに、技術的・物理的・人的(組織的)管理策をとることが必要です。
例えば、
- 服務規程・手順書・マニュアルにおいて入力規則を規定すること
- 文書の更新に関して、定期更新を規定するなどの人的・組織的管理策をとること
- データの破壊や、誤転写などを防ぐ技術的・物理的管理策をとること
が必要となります。
可用性
可用性とは、情報を使いたいときに使える状態にしておくことです。
例えば自然災害や、大きなセキュリティインシデントなどで外部サーバサービスが停止してしまい、情報が使えなくなった事態を想定しましょう。
こうした場合には、データのバックアップが必要であるのはもちろんですが、スピードの速いビジネスの世界でバックアップデータを使える状態にするまで時間がかかっては意味がありません。
そこで、多くの企業ではサーバ自体のバックアップやバックアップサイトですぐにデータへのアクセスの復旧ができるようにしています。
可用性の確保についても、技術的・物理的な管理策と、人的・組織的管理策が必要となります。
具体的な方策としては、下記があげられます。
- システムや機器の冗長化
- ミラーリングなどの高度なバックアップとリカバリ環境
- インシデント発生時に備えた手順の作成と訓練による確認
LRMでは、企業がやるべきセキュリティ対策がわかるセキュリティチェックシートを無料で配布しています。ぜひご活用ください。
近年では情報セキュリティ7要素がスタンダード
ISMSにおいて情報セキュリティの3要素として定められているのが、先述の3要素です。
- 機密性
- 完全性
- 可用性
加えて、「真正性」「責任追及性」「否認防止」「信頼性」を維持することも、情報セキュリティの定義に含めることがあるとも定められています。
近年では、この4つの要素についても重要性が認識され、あわせて「情報セキュリティの7要素」として扱われることが増えています。
- 真正性
- 信頼性
- 責任追跡性
- 否認防止
各要素について説明します。先にあげた3要素は情報セキュリティインシデントの予防のために必要な要素としての意味合いが強いのですが、あとの4要素はインシデントが起きてしまった際の対処と強く関係しています。
真正性
真正性とは、情報へアクセスする人間や組織が「本当にアクセス許可された者」であることを確実にすることです。
情報へのアクセスは本当に必要な者に限定される必要があり、外部の無関係者のアクセスはデータの破壊、改ざんや情報漏えいに繋がりかねません。
情報技術の進展により、単純なIDとパスワードによる認証では簡単に突破されてしまいますので、認証方法の強化が求められています。
具体的な方法としては、下記があげられます。
- 多要素認証(二要素認証、生体認証など)
- デジタル署名
信頼性
信頼性とは、情報を操作するシステムやアプリケーションが操作者の意図通りに動作することを示します。
ヒューマンエラーやアプリケーションのバグにより、意図しない結果となってしまっては元も子もなく、情報の価値がなくなってしまいます。
代表的な対処策には下記があげられます。
- システムやアプリケーションの設計時の品質向上(設計時のレビューやテストによる品質確保)
- 利用者の操作ミスが発生しない、万一発生した場合にも、情報の漏えいや消失に繋がらない仕組みづくり(フールプルーフ)
- 装置の故障を前提とした設計(フェールセーフ)
責任追跡性
責任追跡性は、情報へのアクセスがどのようなルート、手順で行われたかを追跡できることを意味します。
インシデント発生時に、いつ、だれが、どのような手順で情報にアクセスしたかを追跡できることで、要因の判別が可能となります。
具体的な方策は下記です。
- ログイン履歴の取得
- アクセスログ、操作ログ、システムログの取得
- デジタル署名
否認防止
否認防止は、インシデントが発生した際に原因となった操作や行為を、該当のユーザーが否定できないように証拠を残すことを示しています。
情報の改ざんや破壊、流出が発生した際に、その操作を行った相手に対して否認ができないように証拠を保持、追跡可能にしておくことです。
具体的な方策は責任追跡性と同様です。
- ログイン履歴の取得
- アクセスログ、操作ログ、システムログの取得
- デジタル署名
情報の機密性・完全性・可用性をどう事業に活用するか
もともと存在していた情報セキュリティ3要素は情報セキュリティインシデントの予防に主眼を置いた要素となっていました。
残りの4要素は情報セキュリティインシデントが発生した際の対処についても意図があり、ゼロトラストセキュリティに近い考え方をとっています。
7要素をバランスよく実現することで、情報セキュリティインシデントを可能な限り予防し、発生してしまった際にも迅速で効果的な対処が可能となります。
情報の機密性が守られないセキュリティインシデントは、金銭的な損害を企業にもたらす意味で問題です。
しかし、完全性・可用性が欠けると積極的に情報を資産として活用できないことから、経営戦略から見ても情報の機密性・完全性・可用性は重要な課題です。
機密性を守る管理策は、完全性・可用性を守る管理策としても機能しますが、機密性にあまりに重心を置くと、情報を使うことを困難にすることがあります。
そのため3つの要素をバランスよく頭に置いてシステムの開発や調達、ルールの運用を行うことがもとめられています。
また、3つの要素は、ルールにした場合に、違う内容を持つルールになることが考えられます。
情報セキュリティ運用ルールには、機密性・完全性・可用性に関するルールそれぞれがバランスよく規定されるべきです。
情報セキュリティ3要素が破られた例と7要素を揃えるべき理由
情報の完全性が問題になったセキュリティインシデントで次のような事例が発生しています。
2021年2月5日、米国フロリダ州タンパ近郊のオルズマー市の浄水システムに対して、何者かがリモートアクセスにより侵入し、水処理に関する複数の不正操作を行うというセキュリティ事故が発生した。その中には、水酸化ナトリウムの量を調節する機能を不正に操作し、本来の調合量である100ppmから111倍の濃度である11100ppmに変更するものがあった。
ZDNet Japan記事:「完全性」を損なう攻撃も–生活インフラのセキュリティリスクと対策‐2021年3月9日
幸い、この件は早期発見・早期解決により大事には至りませんでしたが、もし発見されなかった場合、地域住民に被害が出ていた可能性があります。
サイバー攻撃で今まで想定されてきた事態の中には、サイト改ざんのように、情報の完全性が損なわれることでしたが、この事例は、不正アクセスにより情報の機密性が破られ、また、データ書き換えにより完全性が破られ、さらに正しいデータを利用できなかったので、可用性も破られています。
サイバー攻撃は日進月歩に巧妙化しますので、機密性・完全性・可用性のどれを突いた攻撃でどんな被害が発生するのかはわかりません。
ただ、わからないなりにも、この3要素を軸に対策しておけば、防御および事後対応に強いアドバンテージになります。
また、ここで重要となってくるのが4つの新要素です。
先ほどのセキュリティインシデントに立ち返って考えてみましょう。
真正性は、まさにこのインシデントで突き崩された要素です。
真正性の確保、確実に許可された人だけが情報にアクセスできる状況こそが、このインシデントを防げたのです。
また、信頼性も重要でした。水酸化ナトリウム濃度の値が想定の範囲を超えた場合、関係者に通知が良く設定にしておく、ないしは、そもそも水酸化ナトリウム濃度が一定の値を絶対に超えない仕組みづくりをしておけば、より安全だったことでしょう。
責任追及性・否認防止は、こうしたインシデントにおいて犯人の特定や再発防止に役立ちます。
サイバー攻撃による犯罪を立証して罰を用意することが、抑止力として働くと考えられます。
また、攻撃方法の特定を容易にし、今後のインシデントが発生しないようセキュリティ強化するためにも有用です。
まとめ
情報セキュリティの3要素は機密性・完全性・可用性の3つであることが、ISMSの情報セキュリティの定義にも定められています。
また、真正性、信頼性、責任追跡性、否認防止の4つを加えて、情報セキュリティの7要素として重視されるようになってきました。
インシデントの予防と発生時の対処の両方に、バランスよく7要素に備えることが必要といえます。
