CIAとは、情報の「機密性(Confidentiality)」「完全性 (Integrity)」「可用性 (Availability)」の頭文字を表すものです。これらは、情報セキュリティの基本要素を表すものですが、CIA以外にも情報セキュリティの要素があります。
情報セキュリティの基本要素を簡単におさらいし、現在重視されている追加基本要素について解説します。情報セキュリティに取り組むことの本質的な価値・そしてこれらに対応する管理策についてもまとめています。これから情報セキュリティに取り組む方・情シスの方はこの記事をぜひご活用ください。
訪問回数無制限! 認証取得100%!
情報セキュリティの3要素(情報のCIA)
情報セキュリティの3要素について、簡単にまとめると以下の通りです。なお、3要素のみの記事は別稿にもまとめていますので、是非ご参照ください。
情報管理には欠かせない!情報の「機密性」「完全性」「可用性」とは?
「機密性」「完全性」「可用性」は、情報セキュリティの3要素と呼ばれているのと同時に、情報管理の三原則とされています。このCIAは、それぞれどんな概念であり、対応する管理策はどういうものでしょうか。
機密性
機密性とは、もう少し具体的にいうと「機密性を維持する=情報が漏れないように管理する」ことを意味します。
情報セキュリティは守りだけでなく、攻めの施策も必要とします。ただし、「守る」という観点は非常に重要で、主に機密性を守ることが目標とされ、技術的に機密性を保持することが管理策となります。
具体的にはアクセス権の制限や暗号化・脆弱性の排除など、情報が外部に暴露されること、あるいはアクセスする必要がない人の目に触れることを予防する施策が機密性を守る観点から要求されます。
完全性
完全性は、2つの内容を持っています。情報が正確であること、また、最新の状態であることを要求する概念です。したがって「完全性を維持する=正確かつ最新の状態で情報を管理する」です。
完全性を維持する施策としては、Webサイトで情報を公開している場合、改ざんを防止するために、Webアプリケーションファイアーウォールを使う、あるいは、企業の内部においては、事業活動で使う人・モノ・金に関する情報をアップデートして、最新の状態を保つなどです。
情報の誤りや改ざん、登録情報の誤り・陳腐化などこの完全性にかかわる問題であり、予防するために技術的・組織的な対応が必要とされます。
可用性
可用性とは、情報を使いたいときに使えるようにすることをいいます。したがって、「可用性を維持する=情報を使いたいときに使える状態にする」ことを意味します。
例えば災害時や、外部からの攻撃によりシステム障害が起こって社内や外部のITサービスが止まって業務が利用できない・古い記録を記載した紙が毀滅してしまい、使えないなどの事態は可用性を損なっている状況です。
災害時のバックアップサイトを作っておく・外部からの攻撃を検知し、接続を遮断するIDS/IPSを使うようにする、あるいは紙のメディアを電子化しておくなどの施策が可用性を維持するために必要となります。
情報セキュリティの3要素(情報のCIA)+αの4要素
CIAに加えて、近時では、情報セキュリティに次の4要素を足して基本要素とすべきとされています。
真正性
真正性とは「自分がAという人間である」と名乗った場合に、その通りである状態が維持されていることを言います。何を想定しているかというと、なりすましによる情報セキュリティへの脅威を想定して、「真正性」を問題にしています。
チャットツールでのやり取り・電子署名などの場面でなりすましがあったら、意図していない相手方に情報を悪用されてしまう可能性があります。
そこで、合言葉をあらかじめ決めておき、通信している当事者が真正であることをチェックできるようにする・第三者を証人としてたてる・あるいは本人確認が済んでいる電子署名を検証の上で使えるようにするなどの措置をとることとします。
責任追跡性
責任追跡性とは「誰の責任なのかを過去にさかのぼって確認できる状態にある」ことを言います。
情報に誰がどのようにアクセスしたのか、あるいは情報を誰が作成し、追加したのかなど、情報の責任の所在を記録し、必要な時にトレースできるようにしておくことにより、情報漏えいなど不祥事を防止しすることができます。
万が一の事故の際にも、誰が引き起こしたことなのか、ログの確認により、追跡して調査することができますので、ログを適切に、適切な期間だけ取得、保存しておくことが必要な措置です。
否認防止
否認防止とは「何かをやった人が言い逃れできないように証拠や記録を残しておく」ということです。インターネットなどで、利用者が事後に利用事実を否定できないようにするため、証拠や記録を残しておきます。
相手方の信頼通りにあとから取引や責任を否認しない・されないようにすることにより、インターネット経由で提供する情報の信頼性を保持する考え方です。
例えば、電子証明書を使う・タイムスタンプを使うなどの方法を使うと、電子署名をしたこと、チェックをしたことなどが後から否定できなくなります。ログを取っておくことも否認防止のための措置です。
信頼性
信頼性とは「情報システムの処理に欠陥や不具合がなく、期待した処理が確実に行われている」ということです。
信頼性が問題になる場面とは、情報そのものは正確であるが、後から否定することを封じる場面です。すなわち否認防止が機能する場面と違い、情報そのものが正しく処理されているかどうかが問題になる場面です。
したがって、情報処理の信頼性を担保する措置が必要な措置です。バグの改修や、システムの不具合を避けるためのメンテナンスなどが信頼性を保つための措置の例として挙げられます。
ISOとIECではCIAの3要素が重視される
ISO/IEC27001 では、情報セキュリティで施しておくべき安全管理措置を規定している文書です。ISO/IEC27001を元に、ISMS情報セキュリティマネジメントシステムを構築します。このシステムも認証機関における認証を受けます。
これらの国際標準では、CIAの要素が重視されています。
もともと、ISO/IECとは次のような国際標準・国際基準を定める組織で、ISO/IEC27001は、情報セキュリティの一定水準以上の安全管理措置を文書化していますが、CIAはその基本構成要素として欠かせないものです。
- ISO(国際標準化機構):品質や環境を含め、あらゆる国際標準を制定
- IEC(国際電気標準会議):電気や電子技術の国際基準を制定
これに対して、CIA以外の追加の4要素については情報セキュリティの要素に含めることもあるものの、まだISO/IECへの本格的な組み込みはなされていないのが現状です。
ISO/IECが国際標準・国際基準であることの意味は、国を問わず、「企業・組織には文書が定めるレベルの情報セキュリティ体制が求められている」ということを意味しています。そこで、これらの文書に基づき、基本の3要素であるCIAについて対応することが大切ですし、CIAは追加の要素の前提として機能するものと考えられます。
情報セキュリティに関する規格には、ISO規格のほかにNIST規格があります。NISTとはアメリカの政府機関が運営する米国国立標準技術研究所のことですが、同等の内容を含む規格であり、ですので、NISTに対する対応についても、CIAを中心に対応することが重要と考えられます。
まとめ
現在情報セキュリティにおいては、機密性・可用性・完全性のほか、真正性・責任追跡性・否認防止・信頼性も含めた安全管理措置を情報セキュリティ施策の内容に盛り込むことが多く、また重視される場面も多くなっています。
ただし、依然として国際規格・国際基準においては、機密性・可用性・完全性が重視されています。それと同時に、真正性などの追加の要素における対応策は、基本のCIAを前提として実現されるものと考えられますので、十分対応してから対応するようにしましょう。
また、弊社ではISMS認証取得/運用支援サービスを行っております。
会社のスタイルに合わせ、自社で「運用できる」認証を年間580社※・18年の支援実績のノウハウで、専属コンサルチームが徹底サポートいたします。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。