情報セキュリティの3要素・7要素とは?定義から対応方法まで解説

情報セキュリティの3要素・7要素とは?定義から対応方法まで解説
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

情報セキュリティの3要素・7要素とは、情報セキュリティ対策を行うために抑えておくべき基本要素を指します。

もともとの「情報セキュリティの3要素」に、現在は新しく4つの要素が加わり「情報セキュリティの7要素」とされています。

今回は「情報セキュリティの7要素」に加え、「情報セキュリティの必要性」について解説していますので、ぜひ参考にしてみてください。

情報セキュリティの3要素・7要素とは

情報セキュリティ7要素とは、

  • 機密性(Confidentiality)
  • 完全性(Integrity)
  • 可用性(Availability)

の3要素(別名:情報セキュリティのCIA)に加え、

  • 真正性(Authenticity)
  • 責任追跡性(Accountability)
  • 否認防止(Non-repudiation)
  • 信頼性(Reliability)

の7要素のことをいいます。

JIS Q 27000:2014でいわれる情報セキュリティとは、情報の機密性・完全性・可用性を維持し、真正性・責任追跡性・否認防止・信頼性などの特性の維持を含む場合があるとしています。

では、情報セキュリティ7要素について説明します。

機密性(Confidentiality)

定義

認定されていない個人や組織・媒体に対して、使用や開示をしないこと。

主な対策方法

難解なパスワード設定・アクセスを制限・パーミッション設定による閲覧・編集・実行権限を与えることで対策することが可能です。

予測されるインシデント

情報漏洩・改ざん・削除などの行為が行われ、情報の保護・正確性が損なわれます。

対策時の注意点

同じパスワードを使い続けることや誰でも見ることができる所にパスワードを書き込まないなど注意する必要があります。

完全性(Integrity)

定義

正確であり完全であること。

主な対策方法

エスケープ処理・暗号化・変更履歴や操作履歴などのログを取得する対策方法があります。

予測されるインシデント

改ざんや削除が行われてしまう可能性があります。

対策時の注意点

完全性を維持するあまり、厳重にしすぎてしまうと緊急時に取り出すことができない場合や業務効率の低下につながるため、注意が必要です。

可用性(Availability)

定義

認定した組織や媒体が要求した時に、アクセスや使用が可能であること。

主な対策方法

2重のデータ管理や定期的なバックアップの取得・予備サーバーの用意などがあげられます。

予測されるインシデント

サーバーダウンやシステム停止により、利用不可能や信頼損失に繋がってしまう可能性が考えられます。

対策時の注意点

予備に対しても、万全なセキュリティ対策を忘れず行うことが重要です。

真正性(Authenticity)

定義

組織や媒体が主張する通りであること。

主な対策方法

デジタル署名や二段階認証・生体認証によって対策することができます。

予測されるインシデント

なりすましが行われる可能性があります。

対策時の注意点

セキュリティキーやハッシュの紛失など注意が必要です。

責任追跡性(Accountability)

定義

個人や組織・媒体が行なった一連の動作を追跡すること。

主な対策方法

デジタル証明やアクセスログ・ワーニングログ・操作履歴・ログイン履歴などのログ情報を取得し残すことで対策することができます。

予測されるインシデント

ログの漏洩や改ざんがあった場合、事象に対応した再発防止や犯人に到達することができない可能性があります。

否認防止(Non-repudiation)

定義

個人や組織・媒体が行なった事象について証明すること。

主な対策方法

責任追跡性が担保されることによって対策することができます。
そのため、デジタル証明やログに不備がないよう記録しておくことが重要です。

予測されるインシデント

責任追跡性が不十分である場合、証明することが不可能になる可能性があります。

信頼性(Reliability)

定義

意図する行動が結果に対して正しいかどうか。

主な対策方法

ソフトやアプリが欠陥・不具合を起こさないための設計や構築を行うことで対策することができます。

予測されるインシデント

意図しない処理の実行や脆弱性を突いた攻撃が行われ企業イメージや信頼の損失に繋がる可能性があります。

対策時の注意点

開発時に不備や漏れ・不要な機能があるか、セキュリティ対策を忘れていないか確認し、定期的なメンテナンス管理が行えているか注意しましょう。

情報セキュリティの必要性

今では、情報資源や情報資産が多くなり以前のように官公庁や大企業だけが狙われる時代ではなくなりました。

情報資源や資産を狙った攻撃は年々と巧妙になり、被害にあう人は少なくありません。

もし、防御することができず情報の改ざんや破壊・漏洩が起きてしまった場合、被害だけでなく損害や企業イメージ・信頼の欠落が起きてしまい、今後の経営状態にも影響を及ぼす可能性があります。

ご紹介したセキュリティ7要素を満たすことによってセキュリティリスクの低減や従業員のセキュリティ理解の向上につながります。
また、ISMSの認定審査を受けることが可能となり、取引先の企業や個人に対して信頼や安心感を与えることができるでしょう。

ISMS(情報セキュリティマネジメントシステム)

ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
ISMS(情報セキュリティマネジメントシステム)とはから引用

まとめ

今回は、「情報セキュリティの7要素」と「情報セキュリティの必要性」について解説していきました。

年々情報セキュリティに対する意識が高まり、重要視されています。

ご紹介したように、セキュリティ対策を行う場合は、7要素が達成されているかどうか確認しながら行うことが大切です。

自社で対策することが難しい場合は、セキュリティの専門家がいる企業に相談するところから初めてみてはいかがでしょうか。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

記事が気に入ったら
wp.supportを "いいね!"
Facebookで更新情報をお届け。

WordPressの保守・セキュリティ対策なら「wp.support」