情報セキュリティの3要素・7要素とは？定義から対応方法まで解説

セキュリティは「情報セキュリティ」と「サイバーセキュリティ」の2つに分けて考える必要があります。

前者は「情報」の状態を安全に保つ考え方、後者は「情報セキュリティ」を脅かす脅威に対して施策をする考え方です。

今回は、情報セキュリティにおけるリスクや、3要素・7要素についてご紹介します。

具体的なハッキングの手法などについてご興味のある方は、以下の記事も参照してください。

• SQLインジェクションとは？被害事例と対策方法5つ！
• WordPressでも起きている！クロスサイトスクリプティングとは？
• 意図しない処理が実行されているCSRF（クロスサイトリクエストフォージェリ）とは？
• バックドアとは?発見・除去方法と感染前の対策まとめ
• トロイの木馬とは？感染した時の被害・駆除・対策方法をご紹介

情報セキュリティにおけるリスクとは？

情報セキュリティにおけるリスクは、「脅威」と「脆弱性」に分けられます。

それぞれのリスクについて解説します。

脅威

脅威とは、情報を盗まれたりその情報を不正に利用されたりといったリスクの原因となるものです。

脅威はさらに下記の3種類に分けられます。

• 意図的脅威
• 偶発的脅威
• 環境的脅威

それぞれ順番に解説します。

意図的脅威

意図的脅威とは、悪質な第三者による行為のことです。ハッキングによる情報の盗難や改ざんはもちろんのこと、なりすましメールなども意図的脅威に該当します。

意図的脅威は、その名の通り人為的に意図して引き起こされるものであり、個人情報や機密情報の漏洩・不正使用といった大きな損害を被る可能性が高いため、十分な対策を行う必要があります。

なお、意図的脅威の中には自社の社員が要因になることもあるため注意が必要です。社員が外部に情報を持ち出して、社外に漏らすことなども意図的脅威に当てはまります。

社外からの攻撃はもちろんのこと、社内から起こる意図的脅威についても十分な対策を行いましょう。

偶発的脅威

偶発的脅威とは、ヒューマンエラーなどによって意図せずに発生してしまう脅威のことです。

USBメモリなどを外部に持ち出した結果、盗難に遭ってしまうというケースや、会話を盗聴されて情報を悪用されるケースも偶発的脅威に該当します。

偶発的脅威は、人の意図が介在しない分、情報を取り扱う社員の意識が予防のためには大切です。社員が情報管理に対して思慮深くなるためにも、社内ルールを明確に定めるとともに、教育を十分に行うようにしましょう。

環境的脅威

環境的脅威とは、先述した2つの脅威とは異なり、人ではなく自然環境が原因となって引き起こされる脅威のことです。代表的なものとして、地震や台風、火事などが挙げられます。

地震や台風によって会社が使えなくなってしまった場合、会社にのみ保存されていたデータや情報を引き出せなくなります。このようなリスクを回避するためにも、複数の記憶媒体にバックアップを取っておくなどの対策を行っておきましょう。

脆弱性

脆弱性とは、先述した脅威のきっかけとなる可能性があるセキュリティ上の欠陥のことです。主にソフトウェア・ハードウェアの保守管理の甘さや、パスワード管理の杜撰さによって引き起こされます。

特に多く見られるのが、ソフトウェアの脆弱性です。Webサイト上のプログラムの設計ミスなどによって、セキュリティ視点での欠陥が生まれてしまい、Webサイトが不正に改ざんされるケースが多く見られます。

たとえば、Webサイト内のサイト内検索機能に不具合があった場合、適切な検索結果が表示されずに悪意のあるフィッシングサイト等に遷移してしまうプログラムが組まれるといった事例が考えられます。

その結果、知らず知らずのうちに自身のWebサイトユーザーに大きな損害を与えてしまうのです。

脆弱性があると、脅威につながるだけではなく、その先で大きな損害を起こす可能性があります。脅威・損害を防ぐためにも、現状たとえ問題がない状態であったとしても脆弱性はできる限り取り除いておくべきと言えるでしょう。

情報セキュリティの3要素・7要素とは

情報セキュリティ７要素とは、

• 機密性（Confidentiality）
• 完全性（Integrity）
• 可用性（Availability）

また、さらに以下の4要素が追加されています。

• 真正性（Authenticity）
• 責任追跡性（Accountability）
• 否認防止（Non-repudiation）
• 信頼性（Reliability）

JIS Q 27000:2014でいわれる情報セキュリティとは、「情報の機密性・完全性・可用性を維持し、真正性・責任追跡性・否認防止・信頼性などの特性の維持を含む場合がある」としています。

では、情報セキュリティ７要素について説明します。

機密性（Confidentiality）

定義

機密性とは、情報に対するアクセス制限を行うことで、認定されていない個人や組織・媒体に対して、情報の使用や開示をしないことです。

適切なアクセス制限を行うことは、情報保護において重要です。情報の存在さえ知られなければ、悪意ある攻撃者に攻撃されることもありません。

主な対策方法

難解なパスワード設定・アクセスを制限・パーミッション設定による閲覧・編集・実行権限を与えることで対策することが可能です。
パーミッションというのはアクセス権のことを指します。

以下のような対策によって、情報を外部に見せない、漏らさないことで、高い機密性を保持できます。
例えば以下です。

• 情報を保存したハードディスクは、限られた人だけが触ることのできる場所に設置する
• パスワードを安易なものに設定しない、強力なパスワードを設定する
• パスワードを手書きのメモに残さない
• 情報を無断で外部へ持ち出さない
• 正当な権限を持つ者だけが情報にアクセスできる仕組みを作る
• 物理的なアクセスができないよう、鍵をかけた部屋に保管したりデータセンターに保管したりする
• 該当データの保存フォルダにアクセス権限を設定する
• データへアクセス可能な端末を限定し、その端末自体を限られた人しか入れない部屋に設置する

注意すべきことは、機密性の高い情報は組織・企業によって異なるということです。メーカーであれば新製品の開発情報などが該当するでしょう。一概にどの情報の機密性が高いとは言いにくいです。自組織において何が機密性の高い情報なのかを考えましょう。

社員の個人情報はどのような企業においても機密性の高い情報です。このような情報は、社内でもできるだけ情報に触れることのできる人を減らすことで漏えいや悪用リスクが減ることになります。

予測されるインシデント

情報漏洩・改ざん・削除などの行為が行われ、情報の保護・正確性が損なわれます。
情報漏洩は深刻度によっては大きなニュースとして報道されることで企業の信頼性低下にもつながってしまいます。

対策時の注意点

同じパスワードを使い続けることや誰でも見ることができる所にパスワードを書き込まないなど注意する必要があります。
パスワードは解読されにくいよう、最低限の難易度を保つことを必須にするとよいでしょう。
また、パスワードは定期的に変更せざるを得ないようなシステム化をしておくと、管理が楽になります。

しかし、注意すべきこともあります。あまりにも社内で厳しいルールを設定してしまうと、社員の業務効率が下がり、結果として、社員の不満が高まって抵抗が上がり、せっかく作ったルールが機能しない可能性もあります。ルールが機能しないだけでなく、業務効率も落ちてしまいます。

完全性（Integrity）

定義

完全性とは、改ざんなどが起きず、正確な情報が保持されている状態を指します。つまり正確であり完全であることです。

完全性が失われると、データ自体の信頼性が失われ、信頼性が低いデータは利用価値が失われることになってしまいます。

完全性が低くなることは企業にとっては大打撃となります。なぜならば、企業が持つ情報の信頼が下がることは、その企業だけでなく、企業の取引先にも大きな損失を招く事態になる可能性があるからです。
サイバー攻撃は個人情報の取得を狙ったものが多いですが、近年ではあえて情報の改ざんにとどめるような事例も増えています。これはターゲット企業の経営のかく乱や信用の失墜を図るためです。

主な対策方法

エスケープ処理・暗号化・変更履歴や操作履歴などのログを取得する対策方法があります。
例えば、企業のWebサイトが改ざんされてしまった場合、企業が信頼を失うことにもつながります。
完全性を保つ・もしくは高める対策として以下が挙げられます。

• 情報にはデジタル署名をつける
• バックアップを取る
• 変更履歴やアクセス履歴を残す
• バックアップなどの情報を保管するルールを決める

予測されるインシデント

改ざんや削除が行われてしまう可能性があります。

対策時の注意点

完全性を維持するあまり、厳重にしすぎてしまうと緊急時に取り出すことができない場合や業務効率の低下につながるため、注意が必要です。

完全性を重要視することと、業務効率の両立をどのように行うのか、バランスをとることを意識しましょう。
データ読み込みと書き込み、保管や転送など運用の際には次のことに注意しましょう。

• データへのアクセスが可能な人を適切に制御する。
• ユーザーの情報へのアクセスや改変の履歴を残し、後からさかのぼれるようにする。
• バックアップのシステムを強化して、暗号化データを保管、転送、利用する。

可用性（Availability）

定義

可用性とは、認定した組織や媒体がデータを要求した時に、そのデータのアクセスや使用が可能であることです。

情報を知りたいときに必要な情報へアクセスできることは重要です。つまり、得たい情報を得る、システムを使うなど、自分の目的が達成されるまで処理が継続するシステムは、可用性の高いシステムです。

Webサイトを閲覧しているときに接続が中断してストレスを感じた経験はないでしょうか。このようなことはWebサイトやそのWebサイトを持つ企業に対する信頼性低下にもつながってしまうことを理解しておきましょう。

主な対策方法

２重のデータ管理や定期的なバックアップの取得・予備サーバーの用意などがあげられます。
可用性を保つ上での対策として以下が挙げられます。

• システムの二重化
• HDDのRAID構成
• UPS（無停電電源装置）
• BCP（事業継続対策）
• システムのクラウド化

予測されるインシデント

サーバーダウンやシステム停止により、利用不可能や信頼損失に繋がってしまう可能性が考えられます。

対策時の注意点

予備に対しても、万全なセキュリティ対策を忘れず行うことが重要です。
ここまでに紹介した情報セキュリティの3要素に加えて、新たに4つの新要素があり、それが以下の4要素です。

• 真正性
• 信頼性
• 責任追跡性
• 否認防止

以下でプラスの4要素についてご紹介します。

真正性（Authenticity）

定義

真正性とは、組織や媒体が主張する通りであること。

情報を取得・編集などする組織や個人が「アクセスを許されている」ことを確実にします。情報に対して適切なアクセス制限を行うことは、情報セキュリティにおいて大事です。

主な対策方法

真正性を保つ対策として、以下が挙げられます。

• デジタル署名
• 二段階認証
• 多要素認証

予測されるインシデント

なりすましが行われる可能性があります。
なりすましにより、例えば自分と関係のない第三者に商品の購入を行われ、金銭的な損害を被るなどが考えられます。

対策時の注意点

セキュリティキーやハッシュの紛失など注意が必要です。

責任追跡性（Accountability）

定義

責任追跡性とは、個人や組織・媒体が行なった一連の動作を追跡すること。

組織や個人の動きを追いかけることで、システムへの脅威として何が挙げられるのか、もしくは誰のどのような行為が原因によるセキュリティの脅威なのかを追跡します。

具体的な責任追跡性の対策として以下があります。

• アクセスログ
• システムログ
• デジタル署名
• 操作履歴
• ログイン履歴

主な対策方法

デジタル証明やアクセスログ・ワーニングログ・操作履歴・ログイン履歴などのログ情報を取得し残すことで対策することができます。

予測されるインシデント

ログの漏洩や改ざんがあった場合、事象に対応した再発防止や犯人に到達することができない可能性があります。

否認防止（Non-repudiation）

定義

個人や組織・媒体が行なった事象について証明すること。

主な対策方法

責任追跡性が担保されることによって対策することができます。
そのため、デジタル証明やログに不備がないよう記録しておくことが重要です。

予測されるインシデント

責任追跡性が不十分である場合、証明することが不可能になる可能性があります。

信頼性（Reliability）

定義

信頼性とはシステムを利用した際の動作が、思った通りの結果を出すことです。
データやシステムは、人間の起こすミスやプログラムの不具合によって、期待したような結果が得られなくなってしまいます。このような事態を防ぐための情報セキュリティの施策が必要です。
信頼性を実現する対策としては、以下が挙げられます。

• プログラムが不具合を生まないような設計を行う
• 不具合のない設計をもとに構築を行う
• 操作ミスなどのヒューマンエラーが起こっても、データが改ざんされたり消失したりしない仕組みを施す

主な対策方法

ソフトやアプリが欠陥・不具合を起こさないための設計や構築を行うことで対策することができます。

プログラムのコーディング段階で設計を変更することは難しいため、コーディングの前段階である設計段階において、バグが入り込みにくいように設計することが大事です。
また、プログラムのテストを行いやすいようなコーディングも重要です。

予測されるインシデント

意図しない処理の実行や脆弱性を突いた攻撃が行われ企業イメージや信頼の損失に繋がる可能性があります。

プログラムの不具合や脆弱性は攻撃者にとって恰好の標的となりやすいです。
不具合が起きたら修正すればよいという甘い考えはやめ、後から損害となって返ってくるということを予測しておくことが大事です。

対策時の注意点

開発時に不備や漏れ・不要な機能があるか、セキュリティ対策を忘れていないか確認し、定期的なメンテナンス管理が行えているか注意しましょう。

3要素のCIAを重要視するISOとIEC

ISOなどの団体が情報セキュリティの国際標準として定めているのが情報セキュリティの3要素です。

代表的な国際標準には「ISO/IEC 27001」があります。

基準を定めているのはISOとIECです。

ISOとは正式名称を国際標準化機構（International Organization for Standardization）といい、各国の代表的標準化機関から成る国際標準化機関で、電気・通信及び電子技術分野を除く全産業分野（鉱工業、農業、医薬品等）に関する国際規格の作成を行っています。

IECは、正式名称を国際電気標準会議（International Electrotechnical Commission）といい、各国の代表的標準化機関から成る国際標準化機関であり、電気及び電子技術分野の国際規格の作成を行っています。

ISO/IEC27001（JIS Q 27001）では、情報セキュリティで行うべき対策がまとめられており、その中でもCIAを重要視しています。

また、ISO/IEC27002（JIS Q 27002）は、情報セキュリティの実践における規範と具体的な実施方法を示しています。

情報セキュリティの規格としては、ISO規格以外にNIST規格があります。

NISTにはCSFと呼ばれるものがあり、規格としては「NIST　CSF」と表記され、NIST CSFが策定するのはサイバーセキュリティに関する策定です。

「ISO/IEC 27001」と「NIST CSF」には以下のような違いがあります。

ISO/IEC 27001：情報セキュリティに関する基準

NIST CSF：サイバーセキュリティを向上させるためのフレームワーク
ISO規格とNIST規格は、基準を策定している団体は異なりますが、セキュリティに関する基準を定めている点は共通しています。

情報セキュリティの必要性

今では、情報資源や情報資産が多くなったことで、り以前のように官公庁や大企業だけが狙われる時代ではなくなりました。

情報資源や資産を狙った攻撃は年々と巧妙になり、被害にあう人は少なくありません。
もし、自社の重要な情報資源・資産を防御することができず情報の改ざんや破壊・漏洩が起きてしまった場合、被害だけでなく損害や企業イメージ・信頼の欠落が起きてしまい、今後の経営状態にも影響を及ぼす可能性があります。

ご紹介したセキュリティ７要素を満たすことによってセキュリティリスクの低減や従業員のセキュリティ理解の向上につながります。

また、ISMSの認定審査を受けることが可能となり、取引先の企業や個人に対して信頼や安心感を与えることができるでしょう。

ISMS（情報セキュリティマネジメントシステム）

ISMSとは、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
リスクアセスメントとは、ISO規格では、リスク特定、リスク分析、リスク評価を網羅するプロセス全体を指す。
ISMS（情報セキュリティマネジメントシステム）とはから引用

まとめ

今回は、「情報セキュリティの７要素」と「情報セキュリティの必要性」について解説していきました。

セキュリティ事故が企業の存続にも影響を与えるようになっていることもあり、年々情報セキュリティに対する意識が高まり、重要視されています。

ご紹介したように、セキュリティ対策を行う場合は、７要素が達成されているかどうか確認しながら行うことが大切です。

自社で対策することが難しい場合は、セキュリティの専門家がいる企業に相談するところから始めてみてはいかがでしょうか。

WordPressサイトの保守運用・セキュリティ対策のご相談はこちら

WordPressサイトの制作・リニューアル等のご相談はこちら

WordPressサイトのハッキングからの復旧・不具合の解消はこちら

WordPress保守・運用のパートナーなら「wp.support」にお任せ！

WordPressサイトを運用していて、以下のようなお悩みはありませんか？

• 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
• サイトのUI/UXを改善したいけれど、自社内では難しい…
• WordPressサイトを高速化したいけれど、ノウハウがない…
• セキュリティ対策をしたいけれど、知識のある人材がいない…
• 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
• ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する