情報は、現代の企業の資産です。
このため、情報は「情報資産」と呼ばれ、管理が問題になります。
情報資産には「機密性」「完全性」「可用性」の3要素が必要とされます。この3要素を守ることができる管理体制が適切な管理体制とされています。
3要素のうち、機密性・可用性は、比較的にイメージがつきやすいのですが、完全性はなかなかイメージがつきにくいかもしれません。
そこで、3要素をより具体的に説明します。中でも、わかりにくい完全性に関してはどのような管理が必要になるのか、十分に解説します。
また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。ぜひ本記事と併せてご活用ください。
情報の機密性・完全性・可用性
ISMSとは、情報セキュリティマネジメントの認証規格です。
日本版の認証規格がJISQ:27001、国際規格として同じ価値を持つ認証がISO27001です。
これらの認証規格の中では、共通して情報管理の三原則、機密性・完全性・可用性を保持できる管理体制が要求されています。すなわち、三原則が守られていることが確認できる管理体制をとっていると、ISMSや、JISQやISO認証を取得することができるのです。
万が一、3要件を満たしておらず、情報が漏れたりした場合は、事業者として大きな損害となることが想定されます。そういった事態が発生しないよう、事業者としてどう情報を管理するのかを再確認してみることが大事です。
機密性・完全性・可用性がないと、それは最悪インシデントが発生していることを意味することになり、少なくとも企業は情報資産を十分に管理できていないという評価を受ける恐れがあり、ベンダーとして起用されないこともあります。
こうした外部の評価による不利益がありうるほか、せっかく保有している情報を資産として活用できないという経営の効率性が低いということにもなります。
では、機密性・完全性・可用性とは、それぞれ何を意味するのか、管理策と共にご紹介します。
機密性
機密性とは、情報が漏えい・暴露を受けないように管理をすることを意味しています。3要素のうち、一番イメージがつきやすいかもしれません。
具体的な管理策は、例えば、不正アクセス対策が代表例です。
不正アクセスを受けないためには、情報にアクセスできる人間を最小限に制限するという対策が必要です。最小限にするためには、IDやパスワードを個人個人に設定することと、アクセス権限がある者を限定し、知る必要のある者だけがアクセスできるようにして、誰もがアクセスできないように情報を管理することが必要です。
機密性を保持するための不正アクセス対策をもう少し詳しく見ると、次のような管理策があります。
- 技術的管理策
- アクセスコントロールができるソフトウェアを使用する・ID、パスワードの変更を一定期間ごとに要求する・侵入を検知する装置をネットワークに付けるなど
- 物理的管理策
- 机の上に機密情報を放置させないようにモニタリングする・セキュリティカードを使って、立ち入りができる区域や部屋を限定する・施錠を必要なところに施して、紙情報の暴露を避けるなど
各種の認証規格に適合するには、機密性を保つために以上のような管理策が必要とされます。
完全性
完全性は、もう少しその要素を分解してみるとわかりやすくなります。
- 情報に間違いがないこと
- 情報が最新のものであること
- 情報に欠けていることがないこと
3要素の中で最もイメージがわかりにくい完全性ですが、情報が正確・最新で利用に耐える状態でないと、役に立たないという当たり前のことを意味しているものです。
完全性も、情報管理体制により守られることが重要です。
完全性は、さらに次の2種類の完全性に分かれます。
- 物理的完全性
- 論理的完全性
物理的完全性は、おおむね情報が正確・最新・欠けていることがないことを意味しますが、論理的完全性とは、情報を保管するサーバやコンピュータ・クラウドサービスでの位置情報・ドメイン情報等、論理的な制御がついていることを意味しています。
これらの完全性を備えるようにするためには、機密性を保持するためのアクセス管理とパラレルに、技術的・物理的・人的(組織的)管理策をとることが必要です。
例えば、
- 服務規程・手順書・マニュアルにおいて入力規則を規定すること
- 文書の更新に関して、定期更新を規定するなどの人的・組織的管理策をとること
- データの破壊や、誤転写などを防ぐ技術的・物理的管理策をとること
が必要となります。
可用性
可用性とは、情報を使いたいときに使える状態にしておくことです。
例えば自然災害や、大きなセキュリティインシデントなどで外部サーバサービスが停止してしまい、情報が使えなくなった事態を想定しましょう。
こうした場合には、データのバックアップが必要であるのはもちろんですが、スピードの速いビジネスの世界でバックアップデータを使える状態にするまで時間がかかっては意味がありません。そこで、多くの企業ではサーバ自体のバックアップやバックアップサイトですぐにデータへのアクセスの復旧ができるようにしています。
可用性の確保についても、技術的・物理的な管理策と、復旧のための手順書、業務の切り替えのマニュアルなど文書による人的・組織的管理策が必要となります。
上記の3つは、「情報セキュリティの3要件」と呼ばれ、事業者内における情報セキュリティ対策を徹底する基本となります。3要件を満たすことで、ISO27001を取得することが可能となります。
万が一、3要件を満たしておらず、情報が漏れたりした場合は、事業者として大きな損害となることが想定されます。そういった事態が発生しないよう、事業者としてどう情報を管理するのかを再確認してみることが大事です。
情報の機密性・完全性・可用性をどう事業に活用するか
情報の機密性が守られないセキュリティインシデントは、金銭的な損害を企業にもたらす意味で問題です。しかし、完全性・可用性が欠けると積極的に情報を資産として活用できないことから、経営戦略から見ても情報の機密性・完全性・可用性は重要な課題です。
機密性を守る管理策は、完全性・可用性を守る管理策としても機能しますが、機密性にあまりに重心を置くと、情報を使うことを困難にすることがあります。
そのため3つの要素をバランスよく頭に置いてシステムの開発や調達、ルールの運用を行うことがもとめられています。また、3つの要素は、ルールにした場合に、違う内容を持つルールになることが考えられます。情報セキュリティ運用ルールには、機密性・完全性・可用性に関するルールそれぞれがバランスよく規定されるべきです。
情報の機密性・完全性・可用性が破られた例
ところで、情報の完全性が問題になったセキュリティインシデントで次のような事例が発生しています。
2021年2月5日、米国フロリダ州タンパ近郊のオルズマー市の浄水システムに対して、何者かがリモートアクセスにより侵入し、水処理に関する複数の不正操作を行うというセキュリティ事故が発生した。その中には、水酸化ナトリウムの量を調節する機能を不正に操作し、本来の調合量である100ppmから111倍の濃度である11100ppmに変更するものがあった。
ZDNet Japan記事:「完全性」を損なう攻撃も–生活インフラのセキュリティリスクと対策‐2021年3月9日
サイバー攻撃で今まで想定されてきた事態の中には、サイト改ざんのように、情報の完全性が損なわれることでしたが、この事例は、不正アクセスにより情報の機密性が破られ、また、データ書き換えにより完全性が破られ、さらに正しいデータを利用できなかったので、可用性も破られています。
サイバー攻撃は、進化するものとされていますので、機密性・完全性・可用性のいずれが欠けてどのような影響がでるか、攻撃を迎え撃つ方も先読みを行う必要が増していると考えられます。
その際に、この機密性・完全性・可用性が先を読む軸として機能することについても、知っておくと有益です。
まとめ
機密性・完全性・可用性という情報管理策の三原則を守ることは、情報セキュリティ認証において不可欠であると同時に、情報資産を企業活動で効果的に使う視点、今後のサイバー攻撃の影響を考える上でも重要な軸として機能します。
今後データ活用がビジネスでさらに進むことを考えると、この三原則によって導かれる管理策も変化することが予想されますが、三原則の重要性は変わらないことでしょう。
また、ISMS認証取得をお考えの皆様に向けて、こちらの資料では、ISMS認証取得の始めの検討段階から審査当日までの一連の流れを23項目のチェックリストにいたしました。認証取得までの流れを抜け漏れなく把握していただくために、ぜひまずは無料でダウンロードしてお確かめください。