wp.geek|世界のWordPress最新情報を届けるメディア WordPressのプロによる
情報発信メディア

2022.04.01セキュリティ

情報セキュリティの3要素・7要素とは?定義から対応方法まで解説

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社プレート 取締役

1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。

この著者の他の記事を見る >>

情報セキュリティの3要素・7要素とは?定義から対応方法まで解説

セキュリティは「情報セキュリティ」と「サイバーセキュリティ」の2つに分けて考える必要があります。

前者は「情報」の状態を安全に保つ考え方、後者は「情報セキュリティ」を脅かす脅威に対して施策をする考え方です。

情報セキュリティ7要素とは、以下の3要素(別名:情報セキュリティのCIA)を指します。

情報セキュリティの3要素・7要素とは

情報セキュリティ7要素とは、

  • 機密性(Confidentiality)
  • 完全性(Integrity)
  • 可用性(Availability)

また、さらに以下の4要素が追加されています。

  • 真正性(Authenticity)
  • 責任追跡性(Accountability)
  • 否認防止(Non-repudiation)
  • 信頼性(Reliability)

JIS Q 27000:2014でいわれる情報セキュリティとは、情報の機密性・完全性・可用性を維持し、真正性・責任追跡性・否認防止・信頼性などの特性の維持を含む場合があるとしています。

では、情報セキュリティ7要素について説明します。

機密性(Confidentiality)

定義

機密性とは、情報に対するアクセス制限を行うことで、認定されていない個人や組織・媒体に対して、情報の使用や開示をしないことです。

適切なアクセス制限を行うことは、情報保護において重要です。情報の存在さえ知られなければ、悪意ある攻撃者に攻撃されることもありません。

主な対策方法

難解なパスワード設定・アクセスを制限・パーミッション設定による閲覧・編集・実行権限を与えることで対策することが可能です。
パーミッションというのはアクセス権のことを指します。

以下のような対策によって、情報を外部に見せない、漏らさないことで、高い機密性を保持できます。
例えば以下です。

  • 情報を保存したハードディスクは、限られた人だけが触ることのできる場所に設置する
  • パスワードを安易なものに設定しない、強力なパスワードを設定する
  • パスワードを手書きのメモに残さない
  • 情報を無断で外部へ持ち出さない
  • 正当な権限を持つ者だけが情報にアクセスできる仕組みを作る
  • 物理的なアクセスができないよう、鍵をかけた部屋に保管したりデータセンターに保管したりする
  • 該当データの保存フォルダにアクセス権限を設定する
  • データへアクセス可能な端末を限定し、その端末自体を限られた人しか入れない部屋に設置する

注意すべきことは、機密性の高い情報は組織・企業によって異なるということです。メーカーであれば新製品の開発情報などが該当するでしょう。一概にどの情報の機密性が高いとは言いにくいです。自組織において何が機密性の高い情報なのかを考えましょう。

社員の個人情報はどのような企業においても機密性の高い情報です。このような情報は、社内でもできるだけ情報に触れることのできる人を減らすことで漏えいや悪用リスクが減ることになります。

予測されるインシデント

情報漏洩・改ざん・削除などの行為が行われ、情報の保護・正確性が損なわれます。
情報漏洩は深刻度によっては大きなニュースとして報道されることで企業の信頼性低下にもつながってしまいます。

対策時の注意点

同じパスワードを使い続けることや誰でも見ることができる所にパスワードを書き込まないなど注意する必要があります。
パスワードは解読されにくいよう、最低限の難易度を保つことを必須にするとよいでしょう。
また、パスワードは定期的に変更せざるを得ないようなシステム化をしておくと、管理が楽になります。

しかし、注意すべきこともあります。あまりにも社内で厳しいルールを設定してしまうと、社員の業務効率が下がり、結果として、社員の不満が高まって抵抗が上がり、せっかく作ったルールが機能しない可能性もあります。ルールが機能しないだけでなく、業務効率も落ちてしまいます。

完全性(Integrity)

定義

完全性とは、改ざんなどが起きず、正確な情報が保持されている状態を指します。つまり正確であり完全であることです。

完全性が失われると、データ自体の信頼性が失われ、信頼性が低いデータは利用価値が失われることになってしまいます。

完全性が低くなることは企業にとっては大打撃となります。なぜならば、企業が持つ情報の信頼が下がることは、その企業だけでなく、企業の取引先にも大きな損失を招く事態になる可能性があるからです。
サイバー攻撃は個人情報の取得を狙ったものが多いですが、近年ではあえて情報の改ざんにとどめるような事例も増えています。これはターゲット企業の経営のかく乱や信用の失墜を図るためです。

主な対策方法

エスケープ処理・暗号化・変更履歴や操作履歴などのログを取得する対策方法があります。
例えば、企業のWebサイトが改ざんされてしまった場合、企業が信頼を失うことにもつながります。
完全性を保つ・もしくは高める対策として以下が挙げられます。

  • 情報にはデジタル署名をつける
  • バックアップを取る
  • 変更履歴やアクセス履歴を残す
  • バックアップなどの情報を保管するルールを決める

予測されるインシデント

改ざんや削除が行われてしまう可能性があります。

対策時の注意点

完全性を維持するあまり、厳重にしすぎてしまうと緊急時に取り出すことができない場合や業務効率の低下につながるため、注意が必要です。

完全性を重要視することと、業務効率の両立をどのように行うのか、バランスをとることを意識しましょう。
データ読み込みと書き込み、保管や転送など運用の際には次のことに注意しましょう。

  • データへのアクセスが可能な人を適切に制御する。
  • ユーザーの情報へのアクセスや改変の履歴を残し、後からさかのぼれるようにする。
  • バックアップのシステムを強化して、暗号化データを保管、転送、利用する。

可用性(Availability)

定義

可用性とは、認定した組織や媒体がデータを要求した時に、そのデータのアクセスや使用が可能であることです。

情報を知りたいときに必要な情報へアクセスできることは重要です。つまり、得たい情報を得る、システムを使うなど、自分の目的が達成されるまで処理が継続するシステムは、可用性の高いシステムです。

Webサイトを閲覧しているときに接続が中断してストレスを感じた経験はないでしょうか。このようなことはWebサイトやそのWebサイトを持つ企業に対する信頼性低下にもつながってしまうことを理解しておきましょう。

主な対策方法

2重のデータ管理や定期的なバックアップの取得・予備サーバーの用意などがあげられます。
可用性を保つ上での対策として以下が挙げられます。

  • システムの二重化
  • HDDのRAID構成
  • UPS(無停電電源装置)
  • BCP(事業継続対策)
  • システムのクラウド化

予測されるインシデント

サーバーダウンやシステム停止により、利用不可能や信頼損失に繋がってしまう可能性が考えられます。

対策時の注意点

予備に対しても、万全なセキュリティ対策を忘れず行うことが重要です。
ここまでに紹介した情報セキュリティの3要素に加えて、新たに4つの新要素があり、それが以下の4要素です。

  • 真正性
  • 信頼性
  • 責任追跡性
  • 否認防止

以下でプラスの4要素についてご紹介します。

真正性(Authenticity)

定義

真正性とは、組織や媒体が主張する通りであること。

情報を取得・編集などする組織や個人が「アクセスを許されている」ことを確実にします。情報に対して適切なアクセス制限を行うことは、情報セキュリティにおいて大事です。

主な対策方法

真正性を保つ対策として、以下が挙げられます。

  • デジタル署名
  • 二段階認証
  • 多要素認証

予測されるインシデント

なりすましが行われる可能性があります。
なりすましにより、例えば自分と関係のない第三者に商品の購入を行われ、金銭的な損害を被るなどが考えられます。

対策時の注意点

セキュリティキーやハッシュの紛失など注意が必要です。

責任追跡性(Accountability)

定義

責任追跡性とは、個人や組織・媒体が行なった一連の動作を追跡すること。

組織や個人の動きを追いかけることで、システムへの脅威として何が挙げられるのか、もしくは誰のどのような行為が原因によるセキュリティの脅威なのかを追跡します。

具体的な責任追跡性の対策として以下があります。

  • アクセスログ
  • システムログ
  • デジタル署名
  • 操作履歴
  • ログイン履歴

主な対策方法

デジタル証明やアクセスログ・ワーニングログ・操作履歴・ログイン履歴などのログ情報を取得し残すことで対策することができます。

予測されるインシデント

ログの漏洩や改ざんがあった場合、事象に対応した再発防止や犯人に到達することができない可能性があります。

否認防止(Non-repudiation)

定義

個人や組織・媒体が行なった事象について証明すること。

主な対策方法

責任追跡性が担保されることによって対策することができます。
そのため、デジタル証明やログに不備がないよう記録しておくことが重要です。

予測されるインシデント

責任追跡性が不十分である場合、証明することが不可能になる可能性があります。

信頼性(Reliability)

定義

信頼性とはシステムを利用した際の動作が、思った通りの結果を出すことです。
データやシステムは、人間の起こすミスやプログラムの不具合によって、期待したような結果が得られなくなってしまいます。このような事態を防ぐための情報セキュリティの施策が必要です。
信頼性を実現する対策としては、以下が挙げられます。

  • プログラムが不具合を生まないような設計を行う
  • 不具合のない設計をもとに構築を行う
  • 操作ミスなどのヒューマンエラーが起こっても、データが改ざんされたり消失したりしない仕組みを施す

主な対策方法

ソフトやアプリが欠陥・不具合を起こさないための設計や構築を行うことで対策することができます。

プログラムのコーディング段階で設計を変更することは難しいため、コーディングの前段階である設計段階において、バグが入り込みにくいように設計することが大事です。
また、プログラムのテストを行いやすいようなコーディングも重要です。

予測されるインシデント

意図しない処理の実行や脆弱性を突いた攻撃が行われ企業イメージや信頼の損失に繋がる可能性があります。

プログラムの不具合や脆弱性は攻撃者にとって恰好の標的となりやすいです。
不具合が起きたら修正すればよいという甘い考えはやめ、後から損害となって返ってくるということを予測しておくことが大事です。

対策時の注意点

開発時に不備や漏れ・不要な機能があるか、セキュリティ対策を忘れていないか確認し、定期的なメンテナンス管理が行えているか注意しましょう。

3要素のCIAを重要視するISOとIEC

ISOなどの団体が情報セキュリティの国際標準として定めているのが情報セキュリティの3要素です。

代表的な国際標準には「ISO/IEC 27001」があります。

基準を定めているのはISOとIECです。

ISOとは正式名称を国際標準化機構(International Organization for Standardization)といい、各国の代表的標準化機関から成る国際標準化機関で、電気・通信及び電子技術分野を除く全産業分野(鉱工業、農業、医薬品等)に関する国際規格の作成を行っています。

IECは、正式名称を国際電気標準会議(International Electrotechnical Commission)といい、各国の代表的標準化機関から成る国際標準化機関であり、電気及び電子技術分野の国際規格の作成を行っています。

ISO/IEC27001(JIS Q 27001)では、情報セキュリティで行うべき対策がまとめられており、その中でもCIAを重要視しています。

また、ISO/IEC27002(JIS Q 27002)は、情報セキュリティの実践における規範と具体的な実施方法を示しています。

情報セキュリティの規格としては、ISO規格以外にNIST規格があります。

NISTにはCSFと呼ばれるものがあり、規格としては「NIST CSF」と表記され、NIST CSFが策定するのはサイバーセキュリティに関する策定です。

「ISO/IEC 27001」と「NIST CSF」には以下のような違いがあります。

ISO/IEC 27001:情報セキュリティに関する基準

NIST CSF:サイバーセキュリティを向上させるためのフレームワーク
ISO規格とNIST規格は、基準を策定している団体は異なりますが、セキュリティに関する基準を定めている点は共通しています。

情報セキュリティの必要性

今では、情報資源や情報資産が多くなったことで、り以前のように官公庁や大企業だけが狙われる時代ではなくなりました。

情報資源や資産を狙った攻撃は年々と巧妙になり、被害にあう人は少なくありません。
もし、自社の重要な情報資源・資産を防御することができず情報の改ざんや破壊・漏洩が起きてしまった場合、被害だけでなく損害や企業イメージ・信頼の欠落が起きてしまい、今後の経営状態にも影響を及ぼす可能性があります。

ご紹介したセキュリティ7要素を満たすことによってセキュリティリスクの低減や従業員のセキュリティ理解の向上につながります。

また、ISMSの認定審査を受けることが可能となり、取引先の企業や個人に対して信頼や安心感を与えることができるでしょう。

ISMS(情報セキュリティマネジメントシステム)

ISMSとは、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
リスクアセスメントとは、ISO規格では、リスク特定、リスク分析、リスク評価を網羅するプロセス全体を指す。
ISMS(情報セキュリティマネジメントシステム)とはから引用

まとめ

今回は、「情報セキュリティの7要素」と「情報セキュリティの必要性」について解説していきました。

セキュリティ事故が企業の存続にも影響を与えるようになっていることもあり、年々情報セキュリティに対する意識が高まり、重要視されています。

ご紹介したように、セキュリティ対策を行う場合は、7要素が達成されているかどうか確認しながら行うことが大切です。

自社で対策することが難しい場合は、セキュリティの専門家がいる企業に相談するところから始めてみてはいかがでしょうか。

WordPressサイトの保守運用・セキュリティ対策のご相談はこちら

WordPressサイトの制作・リニューアル等のご相談はこちら

WordPressサイトのハッキングからの復旧・不具合の解消はこちら

注目記事バナー
2019.11.29