情報のCIA
情報の形態
情報にはさまざまな形態がある。特に近年は技術の高度化により、保存形態の面でも伝送形態の面でもバリエーションが増加している。
情報セキュリティのとらえ方
情報セキュリティという概念の目的は、これらの情報を保全し安全に企業業務を遂行することにある。 1970年代に入ると、これをもう少し具体的に表す指標が、機密性、完全性、可用性として定義された。この三つの観点は現在でも利用されており、国内の情報セキュリティマネジメントシステム形成の基盤であるJIS Q 27001 (ISMS『情報セキュリティマネジメントシステム』における認証基準) でもこれを採用している。
機密性、完全性、可用性は必須の概念である。
機密性 (Confi dentiality)、 完全性 (Integrity)、可用性 (Availability) の頭文字をとってCIAとよぶ場合もある。
機密性 (Confidentiality)
アクセスコントロールともよばれる概念である。許可された正当なユーザだけが情報にアクセスするよう、システムを構成することが要求される。
完全性 (Integrity)
情報が完全で正確であることを保証することである。情報の一部分が失われたり、改ざんされたりすると完全性が失われる。インティグリティという。
可用性 (Availability)
ユーザが情報を必要とするときに、いつでも利用可能な状態であることを保証する。機器が故障していたり、停止していたりすることで可用性は低下する。
クラッカーだけがセキュリティの敵ではない
情報セキュリティという言葉は、マスコミの報道などもあって“クラッカーからシステムを保護する”という意味合いにとられる場合が多くなっている。
しかし、機密性、完全性、可用性の情報セキュリティの要素を見ると、必ずしも情報セキュリティはクラッカーのみによって侵害されるわけではないことがわかる。
例えば、コンピュータの故障は可用性を低下させる要因で、情報セキュリティにとって脅威となる。
情報セキュリティの目的
情報セキュリティは、セキュリティを達成することそれ自体が目的ではない。セキュリティ施策を推進しているうちに、目的と手段が入れ替わることはままあるので、目的を明確化することは重要である。
セキュリティ管理を行う目的は主に以下のようなものである。
①情報資産の保護
②顧客からの信頼獲得
③①と②の結果として、競争力、収益力の維持・向上
情報セキュリティはあくまで手段であり、その目標は強い経営体質を作ることである。
情報セキュリティはコスト項目である
セキュリティ管理にはコストがかかる。また、直接的なプロフィットを生むものでもない。
そのため、導入に際しては社内から強い批判の声があがることもある。 利益を生まず、従来の業務手順を変えなければならないとすれば、これはある意味で当然の反応といえる。
セキュリティ管理を推進していく場合は、これらの声に真に対応していくことが重要である。 セキュリティ管理は管理者がどれだけ努力しても実現できるものではない。すべての社員の協力が必要である。したがって、セキュリティ施策の導入に際しては、すべての社員に納得してもらうことが重要である。ISMS認証基準ではこの点を踏まえて、セキュリティの推進委員会には経営層の参加が必須であると定められている。
セキュリティ管理をしないという選択もある
セキュリティがコストであるなら、それを導入しないという選択もありえる。セキュリティをまったく考慮せずに放置しておくのは問題があるが、セキュリティ管理の導入についてメリットとデメリットを比較して、デメリットの方が大きいと判断した場合は、セキュリティ管理をしない、という方針をとるのも立派なセキュリティ施策となる。
しかし、セキュリティが侵害された場合の被害額は年々高額化しているので、今後はまったくセキュリティ施策を導入しないやり方ではリスクが増大する危険がある。
セキュリティとコストのバランス
近年の企業経営環境では、コスト圧縮の圧力が非常に高まっている。これには聖域がなく、セキュリティ管理分野もまた同様である。したがって、いくらセキュリティが大事だといっても、 無尽蔵に資産をセキュリティ対策に投入することはできない。
一般に、セキュリティ投資とコストにはバランスポイントが生じる。組織が必要とするセキュリティのレベルにも依存するが、このバランスポイントを上手に見つけて運用することが効率のよいセキュリティ施策の 実施には必要である。
IT投資はその効果が見えにくいといわれているが、そのなかでもセキュリティ分野は特に投資効果を測定しにくい特徴をもっている。 しかし、他のIT分野と同様、セキュリティ分野においてもROIを算定する動きが高まってきている。
ROI
Return on invest ment。ある目的のために投下した資源がどれだけのメリットを生んだかを示す指標。利益÷投資✕ 100で表す。
JIS Q 27000における情報セキュリティの定義
JIS 27000 シリーズの中で用語を定義しているJIS Q 27000 では、情報セキ ュリティの定義も行われている。それによれば、情報セキュリティは「情報の機密性、完全性、及び可用性を維持すること」のみならず、「さらに、真正性、 責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある」と、以下の四つの指標も加えて説明されている。 試験で問われたこともあるので、情報のCIAとあわせて覚えておこう。
真正性: システムや利用者になりすましできないこと。
責任追跡性: 情報システム、 情報資産を利用した記録が確実に残ること。
否認防止: 事象の発生とそれをやらかしたのが誰かを特定できること。
信頼性: システムの動作とその結果が意図されたとおりになっていること。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント