不正アクセスやサイバー攻撃による情報漏洩やデータの改ざんが取り沙汰される昨今、企業に求められるセキュリティ上の責任は、より一層の重みを増しています。
今回は企業における情報セキュリティの基本的な特性とその導入例を中心に、解説を進めようと思います。
情報セキュリティの3大特性とは?
皆さんは「情報セキュリティが保持されている状態」とは、どのような状態を指すのかご存知でしょうか。
情報セキュリティは以下の3つの特性によりその機密性・健全性が保たれていなければならず、これらを一般的に「情報セキュリティの3大特性」と定義されています。
☆情報セキュリティの3大特性
〇 機密性(Confidentiality)
〇 完全性(Integrity)
〇 可用性(Availability)
順を追って解説しますので、詳しく見て行きましょう。
情報セキュリティの機密性とは?
情報セキュリティの機密性とは、保有する機密情報に対して、自社がアクセスを許可した人物だけが情報の閲覧・運用を行える状態にあることを指します。
昨今は情報の機密性が保たれていなかった事に起因する漏洩事件が多く、
〇 一般社員が不正に取得した顧客データを外部機関に無断で売却。
〇 退職従業員の社内アカウントを放置。悪用した不正アクセスにより情報漏洩。
〇 業務委託先の従業員が社内情報を不正に閲覧・漏洩。
などなど、様々な弊害が生じています。
社内アカウントの運用管理や情報運用のマニュアル化、専用電算室の設置など…情報の性質や事業形態に応じて様々な方法が採られています。
情報セキュリティの完全性とは?
企業が保有する情報はいずれも正確なものでなくてはならず、欠落や改ざんが行われたものであってはなりません。保有する情報の整合性が取れていることが、情報セキュリティに求められる「完全性」です。
とくに電磁的記録による保有情報はその完全性を担保するシステムが求められており、デジタル署名やハッシュ関数の導入などが挙げられます。
セキュリティインシデントの多くは「情報の漏洩」に注意が向きますが、不正アクセスによるデータの暗号化やファイルの改ざんにより生じるデータロスも、決して軽視できないトラブルです。
企業にはこれらの被害が発生した際に、再発を防止するとともにデータを復旧する責任が求められます。保有する情報に改ざんの懸念が生じた際に、データベースを復旧できる対策も検討すべき課題です。
情報セキュリティの可用性とは?
情報セキュリティにおける「可用性」とは、アクセス権保有者がいつでも保有する機密情報に対して、アクセスできる状態を保っている事を意味します。
〇 データのバックアップを取得する
〇 ICT機器の状態をチェックする
〇 ネットワークシステムの状態を適切な状態に管理する
少し難しく感じるかもしれませんが、上記のような基本的な情報管理を行う事も「可用性を保つ」ことに繋がります。
システムの2重化やサーバーのUPSに加えて、クラウドシステムを利用したアクセス上の利便性向上も「可用性」に関わる部分の1つです。
