-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
「情報セキュリティの3要素」とは、組織や個人の情報を守る上で重要な3つの要素「機密性(Confidentiality)」、「完全性(Integrity)」、および「可用性(Availability)」のことです。それぞれの英語の頭文字を取って、「CIA」とも呼ばれます。情報セキュリティとは、「情報の機密性、完全性および可用性を維持すること」であると、国際規格「JIS Q 27000:2019(※)」で定義されています。
(※)JIS Q 27000:2019:情報セキュリティマネジメントシステム(ISMS)における情報セキュリティの管理・リスク・制御に関するベストプラクティスがまとめられている規格
1つ目の「機密性(Confidentiality)」は、「アクセスを許可された者だけが、情報にアクセスできる」状態のことを意味します。情報を閲覧・使用できる人を正しく限定し、権限のない人が見たり取得したりできないようにすることで、機密性を確保することができます。
機密性を高めるためには、アクセス権限の整理、暗号化、多要素認証、共有設定の見直しなどの対策が有効とされています。
2つ目の「完全性(Integrity)」は、「保有する情報が正確かつ完全な状態に保たれている」状態のことを意味します。つまり、システムにデータを要求した際に、「要求したすべてのデータが提供され、過不足がないこと」と、「提供されたデータが最新であり、間違いがないこと」が保証される状態のことです。加えて、勝手にデータを改ざんされたり破壊されたりしない状態を維持することでもあります。
完全性を守るための基本的な対策には、変更履歴の記録、承認フロー、バックアップ、テスト環境の整備などが挙げられます。
最後の「可用性(Availability)」は、「いつでも情報を利用可能な状態にしておくこと」を意味します。つまり、必要なときに必要な情報へアクセスできる状態が維持されていれば、「可用性が確保されている」とみなすことができます。
可用性を確保するためには、冗長構成、バックアップ、監視、復旧手順の整備など、万が一システムが停止した際に備えたセキュリティ設計が重要になります。
情報セキュリティを高めるためには、これら3要素のいずれか1つのみを高めるのではなく、バランスよく高めることが必要になります。
情報セキュリティの3要素についてさらに詳しくは、こちらの記事もご覧ください:
