基礎知識
情報セキュリティとは?知っておきたい3要素とクラウドとの関係を解説
顧客情報や生産管理情報、社員の個人情報などをデジタル化して管理している情報システムは、今や企業や組織を運営するうえで欠かせないものとなっています。昨今のDX推進を背景に情報システムの利用は、今後ますます加速してゆくでしょう。しかし、その一方で企業や組織が保有するさまざまな情報を安全に扱うにはどうすればよいのか、「情報セキュリティ」について改めて考える必要性があります。
本記事では、「情報セキュリティの3要素」を中心に情報セキュリティの基礎知識について、解説します。情報を安全に取り扱うためにもしっかりと理解しておきましょう。
目次
情報セキュリティとは
企業や組織が保有するさまざまな情報を「情報資産」と呼びます。そして、「情報セキュリティ」とは、情報資産の「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」を確保することと定義されています。この3つの要素については、後ほど詳しく解説します。
情報セキュリティを満たすための対策を実施することを「情報セキュリティ対策」と呼びます。具体的な情報セキュリティ対策の例としては、USBメモリなどのメディアの管理を徹底する、パスワード管理を強化するなどが挙げられます。なお、情報セキュリティが守る対象は、デジタルデータに限定されません。紙の書類なども情報資産に含まれるため、機密書類の扱い方なども情報セキュリティ対策の一環となります。
情報セキュリティと似た言葉に「サイバーセキュリティ」があります。システムへの不正アクセスやマルウェアへの感染など、情報システムや組織に対するセキュリティ事故の潜在的な要因を「脅威」と呼びますが、サイバーセキュリティとは、こうした脅威から情報資産を守り、システムの安全を維持することを指します。そのため、サイバーセキュリティは、情報セキュリティを構成する一要素であると言えるでしょう。
情報セキュリティの3要素
情報資産の「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」を「情報セキュリティの3要素」といい、それぞれの頭文字を取って「CIA」とも呼ばれます。繰り返しになりますが、情報セキュリティ対策の基本はこの3要素を確保・維持することです。情報セキュリティマネジメントシステム(ISMS)に関する国際規格である「ISO/IEC 27001(JIS Q 27001)」においても、この3要素が重要視されています。情報セキュリティ対策を実施する際は、これらの3要素がきちんと満たされているかどうかを確認するよう心がけてください。
機密性(Confidentiality)
「機密性」とは、許可された者だけが情報にアクセスできるようにすることを指します。もし、情報の機密性が確保されていないと、第三者による情報の漏洩や改ざんが行われる可能性が出てくるでしょう。機密性を確保するための対策としては、コンピューターやデータベースにアクセスする際にはIDやパスワードによる認証を求めることや利用者のアクセス権を制限して閲覧のみを許可することなどが挙げられます。
完全性(Integrity)
「完全性」とは、保有する情報が正確で完全な状態を保持していることを指します。完全性が確保されていない状態では、その情報が本当に正しいのかの確証が持てず、その情報の利用価値は著しく低下してしまうでしょう。対策としては、Webサイトの中身が改ざんされた場合に気が付けるようにWeb改ざん検知ソリューションを導入したり、データの破壊や改ざんに備えてバックアップを取得するなどが挙げられます。
可用性(Availability)
「可用性」とは、許可された者が必要な時にいつでも情報にアクセスできるようにすることを指します。例えば、システム障害などによって情報にアクセスできなくなってしまう状態が起こりうる状態は、可用性が低い状態だと言えます。可用性を高く保つための対策としては、自然災害やサイバー攻撃などを起因とした障害に備え、サーバーを冗長化するなどが挙げられます。
クラウドにおける情報セキュリティ対策
情報セキュリティ対策は、この3要素の確保を目的として行うのが基本です。この点については、オンプレミスとクラウドのようにプラットフォームが異なっていても、情報セキュリティ対策の考え方そのものに違いはありません。
しかし、クラウドにはベンダーとユーザーの間に責任分界点が存在し、実際にユーザーが行うべき対策は、オンプレミスと異なってきます。クラウドにおける具体的な情報セキュリティ対策については、「オンプレミスのセキュリティ要件をクラウドで実現するには」をご確認ください。
クラウドに特化した情報セキュリティ規格「ISO/IEC 27017」
クラウドサービスは、利便性・拡張性・コスト面などにおいてオンプレミスよりもメリットが多く、近年、多くの企業に採用されています。そして、その急速な普及とともにクラウドにおけるセキュリティ対策にも注目が集まっています。
しかし、情報セキュリティの国際基準である「ISO/IEC 27001、27002」では、クラウドサービス固有のセキュリティリスクに対しては言及されていません。そこで、クラウドサービスに関する情報セキュリティ対策のガイドラインとして、日本で策定された管理基準を元に国際標準化されたのが「ISO/IEC 27017」です。
情報セキュリティ全般に関する規格であるISO/IEC 27001の取り組みを、ISO/IEC 27017で強化することで、クラウドサービスにも対応した情報セキュリティ体制を構築することが可能です。そして、このISO/IEC 27017の内容を日本国内で通用する認証としたものが「ISMSクラウドセキュリティ認証」となります。ISMS認証に関する詳細は「日本発祥のISO/IEC 27017を適用した「ISMSクラウドセキュリティ認証」」をご確認ください。
まとめ
情報セキュリティ対策を行う際には、以上の3要素に留意し、バランスを考慮しながら行う必要があります。クラウドにおけるセキュリティについては「オンプレミスのセキュリティ要件をクラウドで実現するには」でも解説しているので、ぜひ参考にしてください。