情報セキュリティの3要素とは

情報セキュリティとは、セキュリティシステムを保護することではなく、情報資産を正常に維持することを指します。情報セキュリティポリシーにのっとって、情報資産を護るために考慮しなければならない要素が3つあります。

1.機密性(Confidentiality)

顧客情報や新製品情報、社員の個人情報など企業が扱う機密情報には様々なものがあります。
こうした機密性の高い情報が容易に窃取されたり、改ざんされたりしないようにすることが機密性の維持のために重要になってきます。

2.完全性(Integrity)

サイバー攻撃というと、機密性の高い情報を取得することを目的としたものが一般的でした。
しかし最近では、データを改ざんしたり、それらのデータを復旧するために金銭を要求したりするという犯罪も多発しています。
つまり、完全性とは取得したデータが元の状態のまま安全に、かつ、確実に保持されていることを保証するということになります。

3.可用性(Availability)

可用性とは、必要な人が必要な時に情報資産を使用することができる状態のことを指します。そのため、可用性が担保されるためには、機密性と完全性が確保されていることが前提となります。

これら3要素に基づいて具体的に行うべき施策として以下のようなものが考えられます。

1.機密性

IDやパスワードの設定が挙げられます。
ただ、パスワードを設定しておけばよいというわけではなく、特定されにくいものにしたり、定期的に変更したりすることも重要です。

2.完全性

データにアクセスし、改変できる人間を限定したり、履歴を残したりすることも対策となります。

3.可用性

具体的にはデータのバックアップを取得しておくことがこれに当たります。
災害時にすぐに復旧できるかも可用性の重要な要素ですので、外部記憶装置へ定期的にバックアップを取ったり、ネットワークやシステムを二重化しておいたりするなどの対策が必要です。

情報セキュリティの3要素は、情報資産を護るために必要な要件に過ぎません。
この3要素が失われると、どのような損害が発生し、それを回避するためにリスクを想定しておくことが重要なのです。
そのため、経営層から現場、業務委託先に至るまで、情報セキュリティポリシーを周知徹底することが非常に大事になってきます。
機密情報というのは業種・業態によって異なります。専門家の意見を取り入れながら、自社に最適なポリシーの策定が急がれるところです。