2022/2/17

情報セキュリティにおける重要な7つの要素とは?

クラウド活用やデジタルトランスフォーメーションなどビジネスにおけるITの重要性が日々高まっていく中、ビジネスを継続的に続けていくためには、情報セキュリティの把握と実行が必要不可欠となってきております。
本コラムでは情報セキュリティとして必要な要素に関してご紹介していきます。

こんな人にオススメ!

■CXO(CEO,CTO,CIO)
■情報システム部門役職者
■クラウド戦略担当者

1.情報セキュリティとは?

情報セキュリティとは企業や組織の情報資産を脅威から保護し、安全に利用するための考え方です。
情報セキュリティには基本的な3要素と付加的な要素として4要素を追加した合計7つの要素を意識する必要があります。
それぞれの要素はどれも軽視できない項目のため、各要素のご紹介をしていきます。
自社ビジネスにおいて、意識できていない部分などがありましたら、
これを機に改めてセキュリティに関してお考えいただければと思います。

2.情報セキュリティの基本の3要素

国際標準化機構(ISO)が策定した情報セキュリティマネジメントシステムに関する規格の一つである「ISO27001」。
こちらでは情報セキュリティの主な3要素として「機密性・完全性・可用性」が定義されております。

機密性

機密性とは許可された利用者だけが情報にアクセスすることが出来るようにすることです。
パスワードやIPアドレス制限などを活用して、必要な権限のみを利用者に付与することで情報資産への不正なアクセスを防ぎます。
不正アクセスや盗聴などによって機密性が損なわれると、データの流出や損失により企業の信頼性が失われる可能性があります。

完全性

情報資産が正確であり完全な状態であることです。
データを暗号化したり、バックアップやログ取得を行うことで、情報資産の改ざんや削除を防ぎます。
完全性を維持できなくなるとデータの信頼性が失われてしまいます。

可用性

許可された利用者が情報資産にアクセスしたい時に確実に利用できることです。
予備の環境を用意したり、バックアップを取得しておくことで、障害発生時などに情報資産へアクセス出来なくなることを防ぎます。
可用性が損なわれると、ビジネスの機会損失などに繋がる恐れがあります。

3.情報セキュリティの付加的な4要素

先程ご紹介しました3要素に追加して「真正性・責任追跡性・否認防止・信頼性」の4つの要素も定義されております。
これらを持って情報セキュリティの7要素と呼ばれます。

真正性

情報資産の利用者やシステム、情報などが「なりすまし」ではなく本物であることを確実にすることです。
2段階認証やデジタル署名、生体認証等を利用することで、万が一情報が漏洩したこと等によるなりすましが発生した際も、情報資産が不正に利用されることを防ぎます。
真正性が損なわれると、情報漏えいや損失により、企業の信頼性が失われる可能性があります。

責任追跡性

一連の操作・動作を追跡し、何か問題が発生した際に、過去に遡って責任を追求することが出来る状態を維持することです。
アクセスログや操作ログを取得することで、問題発生時の責任の所在が不明確になることを防ぎます。
責任追跡性が損なわれると、問題発生時の影響範囲の特定や原因の特定が出来ず、企業の信頼性の損失や2次被害に繋がります。

否認防止

利用者が行った操作について、証拠や記録を残すことで、後から否定できないようにすることです。
タイムスタンプや電子証明書、文章でのログを残しておくことで、何か問題が発生した場合に否認されることを防ぎます。
否認防止が出来ていなければ、不正行為が判明した際などに、犯人を責任を追求できなくなります。

信頼性

システムが意図した動作を確実に行っていることを担保することです。
メンテナンスによりバグや不具合の改修を行うことで、意図しない情報資産の改ざんや破壊、不正利用を防ぎます。
信頼性が損なわれてしまうと、情報漏えいやデータの損失などにより、企業の信頼性が損なわれる可能性があります。

まとめ

情報セキュリティの重要性は多くの方が理解しているかと思いますが、実際にどういった観点でどのように気をつけるべきかを把握できているとは限りません。
今回ご紹介した情報セキュリティの7要素を理解して、情報資産を安全に取り扱えるようにしましょう!
クラウド化に伴い、情報資産がインターネットを経由する場合も発生します。
しかし、それぞれのインフラ環境で必要な水準を満たしたセキュリティを保つのは難しいケースもあります。
弊社で取り扱う「Alkira」は、クラウドに最適化されたネットワークとセキュリティを同時に提供します。世界的に活用されている「Palo alt Networks」、「Check Point Software Technologies」や「Zscaler」などの堅牢なセキュリティソリューションと連携も可能です。
もしハイブリッドクラウド、マルチクラウド検討時のセキュリティ課題を感じておられましたら、ぜひ弊社にご相談ください!