情報セキュリティには三大要素と呼ばれている大切な要素があります。それは”機密性””完全性””可用性”ですが、いったい何を指すのでしょうか。
情報は漏れ無いようにすれば良いと言う考え方ではなく、漏れてしまった時にどうするか、改ざんされてしまった場合にどうするか、使えなくなってしまったらどう対処するのかを現実的に想定することを考慮に入れ、考えてみましょう。
・機密性
機密性とは、情報へのアクセスを認められたものだけが、その情報にアクセスできる状態を確保することを指します。
企業によりどの情報を機密情報とするかは違いがありますが、新製品の開発情報や顧客情報、または社員の個人情報などが機密性の高い情報と言えます。
これらの情報に誰でも自由にアクセスすることが可能な状態は、漏洩や悪用のリスクが高くなることから避けたいところです。
オフィスへ入るときも、パソコンへログインするときも、データの呼び出しも、資料が保管されている場所への入室なども制限をすることで機密性を高めることが勧められます。
・完全性
完全性とは、情報が破壊、改ざんまたは消去されていない状態を確保することを指します。
サイバー攻撃の中には、情報の改ざんだけをするものも存在し、企業の経営の撹乱や信用を落とすことを目的としている場合があります。
また、内部の手によって管理ミスが起きれば、同じく信頼をなくす結果となってしまいます。
データの読み込みと書き込み、保管と転送などの運用の時、アクセスした者の履歴を必ず残し、遡れるようにすることや、バックアップシステムを充実したものにすることで被害を低減、修復を可能にすることで、よりその完全性を高めることが出来ます。
・可用性
可用性とは、情報へのアクセスを認められたものが、必要時に中断すること無く、情報及び関連資産にアクセスできる状態を確保することを指します。
システムがダウンした時や天災が起こった際にすぐに利用することができなくなり、さらに復旧するのに時間がかかるようでは企業としては意味がありません。
前に述べた機密性と完全性を確保した上で、素早く復旧することが出来るかが問われます。
システムを二重化し、どちらかがダウンしたとしても問題がないようなカタチを作る事が対策としてあげられるでしょう。
今や、ITの技術は経営や戦略上で、必要不可欠なものです。機能性や利便性はもちろんのこと、その情報セキュリティは企業全体にとって非常に重要だと言えます。
これら3つの要素を基礎として考え、システムの開発や調達、ルールの運用などを行うなら企業にITを活用する上で進歩的な助けとなることでしょう。
個人情報保護の第三者認証制度’’JAPHIC(ジャフィック)マーク’’等を取得することによって、社内外にその取り組みを理解してもらうのも一つの方法です。
