COLUMN

情報セキュリティ3要素と7要素　CIAの定義から4つの新要素まで解説

クラウドやセキュリティなど、クラウドに関する情報満載のNTT東日本メールマガジンはこちらからご登録ください。

あらゆる情報がデジタル化された現代では、情報資産をどのように扱えば安全であるかを常に意識しておかなければなりません。とくに企業が保有する情報は、破損や消失などを防ぎ、必要なときにいつでも使えることが重要です。本コラムでは、情報の取り扱いにおいて意識すべき情報セキュリティ3要素の定義や、新たに追加された4要素を合わせた情報セキュリティ7要素について、国際標準化機構が認定するISO規格にも触れながらわかりやすく解説します。

情報セキュリティ3要素とは

デジタルデータやITシステムにおいて、セキュリティは「情報セキュリティ」と「サイバーセキュリティ」の二つに分けて考える必要があります。情報セキュリティは、「情報（データやインフラ基盤）」の状態を安全に保つ考え方、サイバーセキュリティは「情報セキュリティ」を脅かす脅威に対して施策をするという考え方です。

サイバーセキュリティについては「セキュリティとは何か？ITで意識すべき情報セキュリティをわかりやすく解説」でわかりやすく解説していますので、参考にしてください。

ここでは、情報セキュリティについて、それを構成する3要素について見ていきます。

情報セキュリティの3要素は、以下3つの用語を英語表記したときの頭文字を取って「CIA」と呼ばれています。

• 機密性（confidentiality）
• 完全性（integrity）
• 可用性（availability）

これら3つの要素は、重要な情報の改ざんや消失、物理的な破損を防ぎ、安全に情報を取り扱うために意識すべき要素を定義したものです。

それでは、一つずつ見ていきましょう。

機密性（confidentiality）とは

機密性とは、情報に対するアクセス権限を徹底して保護・管理することです。

情報を外部に見せない、漏らさないことを意識することで、高い機密性を保持できます。逆に、企業内に保持する情報に誰でもアクセスできる状況にあれば、それは機密性の低い状態です。

情報の機密性が低ければ、情報漏えいや情報の破損などの原因になりかねません。機密性を高めるためには、アクセスコントロールのルール設定やパスワード認証、情報自体の暗号化などといった手法が利用されます。

機密性を高める必要がある情報には、例えば次のようなものが挙げられます。

• 社員の個人情報
• 顧客情報
• 新製品の開発情報
• システムへアクセスするためのパスワード

では、機密性を高めるためには、具体的に何をすればよいのでしょうか。

具体的な施策には以下が挙げられます。

• 情報を保存したHDDなどは、アクセスコントロールされた場所（データセンターなど）に設置する
• パスワードに「123456」などの安易なものを設定しない
• ID/パスワードをメモなどに残さない
• 情報を外部へ持ち出さない
• 正当な権限を持つ者だけが情報にアクセスできる仕組みを作る

完全性（integrity）とは

完全性は、改ざんや過不足のない正確な情報が保持されている状態を指します。完全性が失われると、そのデータの正確性や信頼性が疑われ、信頼性が疑わしいデータは利用価値が失われます。

例えば、企業のWebサイトの改ざんが起こった場合には、企業としての信頼を失うことにもつながりかねません。

完全性を保持する方法には以下のような対策が考えられます。

• 情報にはデジタル署名をつける
• 情報へのアクセス履歴を残す
• 情報の変更履歴を残す
• バックアップなどの情報を保管するルールを決める

もし、一般的な企業の情報に完全性がなければ、企業自身はもちろん、その企業の取引先などにも大きな混乱と損失を招く事態になる可能性があります。

また、IoTが普及する社会の中で情報の完全性が保てなくなると、医療やスマートカーなどで、人命にかかわる被害が出る恐れもあるのです。

可用性（availability）とは

可用性は、情報をいつでも使える状態を保持することです。必要なときに情報へアクセスでき、目的を果たすまでアクセスやデータ処理が中断されないシステムは、可用性の高いシステムだといえるでしょう。

例えば、クラウドサービスでは、24時間365日（メンテナンス時間を除く）いつでもデータやシステムにアクセス可能です。これにより、クラウドストレージに保存しているデータは、パソコンやスマートフォンでいつでもアクセスできますし、ファイルはいつでも編集できます。

可用性を保つためには、以下のような施策が考えられます。

• システムの二重化（多重化）
• HDDのRAID構成
• UPS（無停電電源装置）
• BCP（事業継続対策）
• システムのクラウド化

可用性については、オンプレミスでも実現可能です。しかし、管理・運用コストやトラブル時の対応工数、また近年多くの企業で進められているDX（デジタルトランスフォーメーション）への取り組みでもクラウドの積極的な利用が増えています。

クラウドやセキュリティなど、クラウドに関する情報満載のNTT東日本メールマガジンはこちらからご登録ください。

情報セキュリティ7要素に含まれる4つの新要素

情報セキュリティには、先に紹介した3要素に加えて、新たな4つの新要素があります。

• 真正性（Authenticity）
• 信頼性（Reliability）
• 責任追跡性（Accountability）
• 否認防止（non-repudiation）

これらは主に、情報へのアクションが「誰の行為か」を確認できるようにすることや、システムが確実に目的の動作をすること、また、情報が後から否定されない状況を作ることで情報セキュリティを確保するものです。

それでは、4つの新要素の内容を見ていきましょう。

真正性（Authenticity）とは

真正性とは、情報にアクセスする企業組織や個人あるいは媒体が「アクセス許可された者」であることを確実にするものです。情報へのアクセス制限は、情報セキュリティにおいても重要な要素です。

真正性を実現する具体的な施策には、以下のようなものが挙げられます。

• デジタル署名
• 二段階認証
• 多要素認証（生体認証を含む）

信頼性（Reliability）とは

信頼性は、データやシステムを利用した動作が、意図した通りの結果を出すことです。

データやシステムは、ヒューマンエラーやプログラムの不具合（バグなど）によって、期待する結果が得られないこともあります。情報セキュリティには、このような事態を防ぐための施策が必要です。

信頼性を実現する具体的な施策には、以下のようなものが挙げられます。

• システムやソフトウェアが不具合を起こさない設計を行う
• 不具合のない設計をもとに構築を行う
• ヒューマンエラー（操作ミスなど）が起こっても、データが改ざんされたり消失したりしない仕組みを施す

責任追跡性（Accountability）とは

責任追跡性とは、企業組織や個人などの動きを追跡することです。これにより、データやシステムへの脅威が何であるのか、あるいは誰のどのような行為が原因なのかを追跡します。

責任追跡性の具体的な施策には、次のようなものが挙げられます。

• アクセスログ
• システムログ
• デジタル署名
• 操作履歴
• ログイン履歴

否認防止（non-repudiation）とは

否認防止は、情報が後に否定されないように証明しておくことです。

例えば、組織や個人が情報の改ざんや情報利用をした場合、本人がそれを後から否認できないようにログを取っておくなどの措置が否認防止にあたります。

否認防止は、責任追跡性の施策にて実現でき、主にデジタル署名や各種ログが利用されます。

クラウドやセキュリティなど、クラウドに関する情報満載のNTT東日本メールマガジンはこちらからご登録ください。

3要素のCIAを重要視するISOとIEC

情報セキュリティの3要素であるCIAは、ISOやIECといった団体が情報セキュリティの国際標準として定めています。代表的な国際標準には「ISO/IEC 27001」などがあり、情報セキュリティに関する基準は国際的に統一されているのです。

基準を定めているのはISO（国際標準化機構）とIEC（国際電気標準会議）で、双方には、以下のような違いがあります。

• ISO（国際標準化機構）：品質や環境を含め、あらゆる国際標準を定めている
• IEC（国際電気標準会議）：電気や電子技術の国際基準を定めている

ISO/IEC27001（JIS Q 27001）では、情報セキュリティで成すべき施策についてまとめられており、情報セキュリティ3要素のCIAが重要視されています。また、ISO/IEC27002（JIS Q 27002）は、情報セキュリティの実践規範が示されており、具体的な実施方法を示したものです。

ISO規格とNIST規格の関係性

情報セキュリティに関する規格には、ISO規格のほかにNIST規格があります。NISTとはアメリカの政府機関が運営する米国国立標準技術研究所のことです。

NISTにはCSFというものがあり、規格としては「NIST　CSF」と表記され、NIST CSFが策定するのはサイバーセキュリティに関する策定です。

「ISO/IEC 27001」と「NIST CSF」には以下のような違いがあります。

• ISO/IEC 27001：情報セキュリティに関する基準
• NIST CSF：サイバーセキュリティを向上させるためのフレームワーク

また、NISTには、「SP800 -53」や「SP800-171」といった規格があり、双方とも米国連邦政府がセキュリティ基準を示すガイドラインです。

• NIST SP800-53：連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策
• NIST SP800-171：米国政府機関が調達する製品や技術を製造する企業に対して、基準となるセキュリティを準拠することを求めるガイドライン

NIST SP800-53については、日本政府が導入するクラウドサービスのセキュリティ管理基準に、NIST SP800-171は日本防衛省の調達基準として盛り込まれはじめています。

ISO規格とNIST規格は、基準を策定する団体は違いますが、どちらもセキュリティに関する基準を定めるものです。

クラウドやセキュリティなど、クラウドに関する情報満載のNTT東日本メールマガジンはこちらからご登録ください。

注目されるゼロトラストセキュリティ

近年、「ゼロトラストセキュリティ」という情報セキュリティ対策が注目されています。

ゼロトラストセキュリティとは、「どのようなアクセスも信用しない」というセキュリティの考え方で、情報セキュリティやサイバーセキュリティの考え方として広まりつつあるセキュリティの概念です。

その背景としては、ICTの普及やテレワークなどでのリモートアクセス、そしてクラウド利用の拡大があります。これらの技術は、企業の情報をネットワーク経由でアクセスできるなどの利便性をもたらしていますが、同時にインターネットに接続されている情報が脅威に晒されている状態でもあるのです。これにより、従来からの境界型セキュリティや多層防御では、情報を守ることが難しい状況になりました。

例えば、社内からの情報アクセスに対しても、社外からのアクセスと同じように可視化（通信の検証やログ）を行うというセキュリティ施策を行わなければならないのです。

ゼロトラストセキュリティについては、「ゼロトラストセキュリティとは？その必要性やメリット、境界型セキュリティの違いを解説」でもわかりやすく紹介していますので、ぜひ参考にしてください。

クラウドやセキュリティなど、クラウドに関する情報満載のNTT東日本メールマガジンはこちらからご登録ください。

情報セキュリティが設計されたクラウドの活用

情報セキュリティへの意識は、社内に構築するオンプレミス環境でも管理可能です。しかし、インフラを自社で管理するコストを抑えたり、常に最新のセキュリティに対応したりするためには、クラウドサービスを活用するのが効率的だといえます。

ここでは、代表的なクラウドサービスである、AWSとMicrosoft Azureの主な情報セキュリティ環境を見ていきましょう。

AWSの情報セキュリティ

AWSの情報セキュリティでは、例えばネットワーク上のデータやアクセスをモニタリング監視しています。

ユーザーのデータセキュリティを重視し、24時間体制でモニタリングを行っています。モニタリングしているのは、世界トップクラスのセキュリティ専門家チームです。ネットワークに流れるすべてのデータは、物理レイヤーで自動的に暗号化されていますし、転送中・保存中のデータも暗号化され、データへアクセスできるのは許可されたユーザーのみです。

Microsoft Azureの情報セキュリティ

Microsoft Azureの情報セキュリティでは、例えばデータがストレージに書きこまれるときに暗号化キーでデータが暗号化されることや、キーにはIDベースでアクセス制御と監査ポリシーが適用されるなど、保存データに対するセキュリティも強力です。また、セキュリティログにおいては、コントロールログ/管理ログ・データプレーンログ・処理済みイベントなどが用意されています。

クラウドやセキュリティなど、クラウドに関する情報満載のNTT東日本メールマガジンはこちらからご登録ください。

まとめ

情報セキュリティには、3要素の「CIA」と、そこに4つの要素を追加した7要素があります。それぞれの要素は、常に改ざんや間違いのない正しい情報を保持するために意識すべき事項です。企業にとって重要な情報資産を安全に活用するためには欠かせないものですので、情報を管理する者だけではなく、情報にアクセスする人すべてが理解しておかなければなりません。