情報セキュリティの3要素とは、情報の保護と活用における基本的な3つの要件、「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」のことで、これらをまとめて「CIA」とも呼ばれます。機密性は、許可された人だけが情報にアクセスできる状態を指し、完全性は情報が正確で改ざんされていない状態を保証し、可用性は必要なときに情報へ安全にアクセスできる状態を維持することです。
情報セキュリティの3要素(CIA)
- 機密性(Confidentiality)
- 定義:許可された情報に、許可された人だけがアクセスできる状態を維持すること。
- 目的:情報漏洩や不正アクセスを防ぐこと。
- 具体例:アクセス制御、認証システム、適切なアクセス権限の設定など。
- 完全性(Integrity)
- 定義:情報が正確かつ完全であり、不正な改ざんや破損から保護されている状態を保証すること。
- 目的:情報の正確性を維持し、意図しない変更を防ぐこと。
- 具体例:不正アクセス対策、文書管理の徹底など。
- 可用性(Availability)
- 定義:利用者が必要なときに、いつでも情報やシステムに安全にアクセスできる状態を維持すること。
- 目的:サービスの停止やシステム障害から保護し、常に利用可能な状態にすること。
- 具体例:システムや電源の多重化、BCP(事業継続計画)の策定など。
これらの3要素は情報セキュリティの基盤であり、すべての対策においてバランス良く維持し、継続的に改善していくことが求められます。
追加の4要素の紹介
情報セキュリティとは、企業や組織がその情報資産を不正なアクセスや自然災害から守るために行う活動を指します。これを達成するためには、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の情報セキュリティの3大要素に加えて、以下の4つの要素が重要です。
まず、「真正性(Authenticity)」とは、情報にアクセスしている者が本当に許可された正当な人物であることを確認することです。これにより、不正なアクセスを未然に防ぐことが可能です。
次に、「責任追跡性(Accountability)」という観点では、誰がどのようにシステムや情報にアクセスし操作したのかを明示的に記録します。これにより、情報の利用状況を追跡し、不正行為が発生した場合にその責任を明らかにできます。
続いて、「否認防止(Non-repudiation)」は、情報に関する行動を否定することを防ぐことを中心に据えています。これにより、データや情報の操作に関わった人物が、それらの事実を否定できないようにすることが可能です。
最後に、「信頼性(Reliability)」です。情報やシステムが常に正しく機能し、期待通りの結果を提供することを確実にします。信頼性が高まることで、情報システムの全体的な安定性と顧客からの信頼を確立することができます。
情報セキュリティを強化するためには、この7つの要素を総合的に考慮し、組織や企業の特性に応じた対策を講じることが求められます。
参照:https://www.kotora.jp/c/40622/#co-index-8
コメント