システム導入時、さらにチェックしたい!情報セキュリティの【4要素】
- 2022/10/14
- 雑学
情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)は情報セキュリティの3要素として知られており、それぞれの頭文字をとってCIAとも呼ばれています。
情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO/IEC27001では情報セキュリティを、情報の機密性、完全性、可用性を維持することと定義しています。
企業の情報セキュリティではCIAをバランスよく維持し、脅威から情報を保護する対策を行う必要があり、システム導入の際にも自社の情報セキュリティの基準と照らし合わせて、CIAの維持に支障がないか確認する必要がありますが、重要な情報セキュリティの要素はCIAだけではありません。
今回は、CIAに加えて確認したい4要素についてご説明します。
CIA以外にも重要な情報セキュリティの要素
CIAへの対応は情報セキュリティの基本的な対策として、既に取り組んでいる企業も多いと思いますが、ISO/IEC 27001でさらに触れられている、
・ 真正性
・ 責任追跡性
・ 否認防止
・ 信頼性
への対応は取り組んでいるでしょうか?
上記4つはCIAに加えるかたちで、情報セキュリティの7要素として情報セキュリティで考慮すべき特性となっています。
この4つの要素がそれぞれどのようなものなのか、見ていきましょう。
CIA以外でも重要な4要素
◆ 真正性
真正性とは、情報へアクセスする者が本当にアクセスするべき者か、なりすまししていないか、確認できる性質のことです。
本人しか知り得ない情報として、パスワードを使用して本人であることを担保することが多いですが、近年では、他のシステムから流出したパスワードやパスワードの推測などにより、パスワードが破られてしまう危険性も高く、ワンタイムパスワードや生体認証などを活用した多段階認証等が必要となっています。
システムを選択する際は、多段階認証の機能等、真正性を担保するための機能が備わっているか確認するようにしましょう。
◆ 責任追跡性
責任追跡性とは、情報の閲覧・編集・削除など、システムでの操作を誰が行ったか、誰の責任か追跡できる性質のことです。
情報の改竄や不正な削除などといった事象が発生した際に、誰の操作か特定できない場合、内部の不正なのか、外部からの不正アクセスなのかシステム上のバグなのかなど、責任の所在や対応先がわからず、対処が困難となってしまいます。
そういった事態を避けるため、システムを選択する際はログ機能など、責任追跡性を担保するための機能が備わっていることを確認しましょう。
◆ 否認防止性
否認防止性とは、システムの操作を行なった人が操作を行なったことを否定できないようにする性質のことです。
システムを活用する上で、時には情報の改竄や不正な取引など、問題となる操作が行われることがあります。
このような問題発生後、責任の追求や再発の防止策を行うときに、責任者に行為を否認されることを防ぐために証拠を残しておく必要があります。
システムを選択する際には、否認防止性を担保するため、誰が操作を行なったかログなど記録が取られているか、記録の改ざんへの対策がなされているか確認しましょう。
◆ 信頼性
信頼性とは、システムの操作を行なった際に意図した通り動作する性質のことです。
操作が意図通りに動くことは当たり前だと思われるかと思いますが、システム開発・運用体制が脆弱、利用者数が少ない機能であったりすると、バグが発見されず残っており、意図した操作と異なる結果が出力されることが起こり得ます。
そうしたことが起こらないように、信頼性を担保するための開発体制が整っている、バグへの対応をきちんと行なっているかなどの確認を行いましょう。
システムを活用するうえで、この4つは欠かせない!
機密性、完全性、可用性が情報の保護や安全な使用のために、どのような点を意識する必要があるかという観点で定められているのに対し、真正性、責任追跡性、否認防止性、信頼性は、情報を活用する上で生じうるインシデント発生の防止、インシデント発生時の適切な対処のために意識する必要があるかという観点で定められています。
情報の保護や安全性も重要ですが、システムを利用する上では、インシデントが発生した際に、対処できる体制を整えることも重要となってきます。
インシデントが発生した際に、予め対処できるよう体制を整えていない場合、インシデントから受ける悪影響を大きく受けることになります。
たとえば、データが改竄されたときに、誰の操作によるものか特定できず、責任の追求、再発の防止策を打つこともできないといた状況になり、外部の犯行を見逃すといったことにもなり得ます。
システム導入する際には、CIAだけでなく今回ご紹介した4要素も担保できているかも確認しましょう!