はじめに
近年、企業を狙ったサイバー攻撃や情報漏洩事故のニュースを目にする機会が増えています。
ランサムウェアによるシステム停止や、フィッシングメールをきっかけとした情報漏洩など、その被害は企業規模を問わず多数発生しています。
こうした状況の中で、企業には重要な情報を守るためのセキュリティ対策を講じることが求められています。
社内でシステムやネットワークの担当になっていらっしゃる方々も、社内ルールを決めたり新しいセキュリティシステムを導入するなど、日々様々な対応に追われていらっしゃるのではないでしょうか。
しかし、「セキュリティを強化すること」だけに意識が向いてしまうと、本来守るべきものを見失ってしまう場合があります。
情報セキュリティの基本的な考え方として広く知られているのが、「機密性」「完全性」「可用性」の三要素です。
これは情報セキュリティの根幹を成す考え方であり、多くのセキュリティ評価基準で採用されています。
弊社でもISMS(情報セキュリティマネジメントシステム)を毎年更新しており、セキュリティレベルの高さを保つことと社内業務を円滑に進めていくためのバランスを取ることに注力しています。
今回は、情報セキュリティの三要素について解説するとともに、それぞれのバランスの重要性や企業が実践できる対策について紹介します。
情報セキュリティの三要素とは
情報セキュリティの基本的な要素として、一般的には「CIA」と呼ばれる3つが挙げられます。
機密性(Confidentiality)
機密性とは、「許可された人だけが情報へアクセスできる状態」を維持することです。
企業には顧客情報や従業員情報、営業資料、設計図面、契約書など、外部に漏れてはいけない情報が数多く存在します。
これらの情報が不正に閲覧されたり持ち出されたりすると、企業の信用失墜や損害賠償につながる可能性があります。
誰でも無制限に情報を利用できるようにはせず、役職や部署などによって利用できる範囲をきちんと定義したうえで権限を与える必要があります。
機密性を守るための対策としては、以下のようなものがあります。
- アクセス権限の適切な設定
- パスワード管理の徹底
- 多要素認証(MFA)の導入
- データの暗号化
完全性(Integrity)
完全性とは、「情報が改ざん・破壊されずに、常に正確な状態」を維持することです。
情報漏洩だけでなく、データの改ざんや破損も企業活動に大きな影響を与えます。
例えば、売上データが改ざんされる、顧客情報が誤って変更されてしまう、Webサイトが不正に書き換えられるといった事象は、企業としての信頼や業務継続に深刻なダメージを与えます。
特にWebサイト運営では、CMSやプラグインの脆弱性を放置することでサイト改ざん被害につながるケースが少なくありません。
完全性を維持するためには、以下のような対策が有効です。
- 変更履歴の記録
- アクセス権限の制御
- ファイル改ざん検知
- バックアップの取得
可用性(Availability)
可用性とは、「適切な権限を持つ人が、必要な時にシステムや情報を利用できる状態」を維持することです。
どれだけ高度なセキュリティ対策を施していても、システムが停止して利用できなければ業務は成り立ちません。
万が一外部からの攻撃を受けたり、自然災害などによって被害を受けた場合でも、事業を継続できるように情報を保護できているかが重要となります。
例えばECサイトが長時間停止した場合、売上機会の損失だけでなく顧客離れを招く可能性もあります。
可用性を脅かす要因には、 ハードウェアの故障やランサムウェア感染、DDoS攻撃、停電や地震といった災害なども含まれます。
そのため、以下のような対策によって可用性を確保することが重要です。
- 冗長化構成
- 定期バックアップ
- UPSの導入
- 監視システムの運用
- 災害対策
情報セキュリティはバランスが大事
情報セキュリティ対策というと、とにかく厳しくすればよいと考えられがちです。しかし実際には『三要素のバランスを保つこと』が非常に重要です。
例えば、機密性を重視しすぎた場合を考えてみましょう。
複雑すぎる認証方式や頻繁なパスワード変更を強制すると、情報にアクセスしようとする利用者の負担が増加します。その結果、パスワードの使い回しやメモ書きといった逆効果な運用が発生する可能性があります。
逆に、可用性を優先しすぎて誰でも簡単にアクセスできる環境を作ってしまうと、不正アクセスや情報漏洩のリスクが高まります。
また、完全性を重視しすぎた場合、あらゆる情報変更に厳格な承認手続きや複雑な変更管理を求めることで業務のスピードが低下し、顧客からの依頼に対して迅速な対応ができなくなる恐れがあります。
実際の企業運用では、安全性、利便性、運用コストといったそれぞれのバランスを取りながら対策を検討する必要があります。
例えば、多要素認証を導入する場合でも、利用者の負担を考慮した認証方式を選択することが重要です。
情報セキュリティは「強固であればあるほど良い」のではなく、「業務を止めずに適切な安全性を確保すること」が理想となります。
情報セキュリティ保護のために企業ができることとは
情報セキュリティの三要素を守るためには、技術的な対策だけでなく、組織全体として情報セキュリティの改善や強化に取り組む姿勢が欠かせません。
ただし、いきなり全部を見直すのでは時間やコストの面からも難しいのが実際のところですので、取り組めそうな部分から改善していくことが重要となります。
まずは以下のような点から取り組んでいただくのはいかがでしょうか。
アクセス権限を定期的に見直す
異動や退職によって不要になったアカウントや権限がそのまま残っているケースは珍しくありません。
特に近年では、コロナをきっかけにリモートワークの急激な広まりがあった後、通常出勤の形態に戻したのにVPNアカウントが使われず放置されるケースがあります。
そのアカウントの利用者が退社したにもかかわらず、そのままアカウントが残ってしまうと、外部からの情報窃取といったトラブルに繋がってしまいます。
定期的な権限棚卸しを実施し、最小権限の原則に基づいた運用を行いましょう。
多要素認証を導入する
IDとパスワードだけでは、フィッシングや情報漏洩に対して対策が十分とは言えません。
クラウドサービスやVPN、各種ログイン画面などで導入が可能であれば、多要素認証を利用しましょう。
定期的なバックアップを取得し、復旧テストを行う
バックアップは取得しているだけでは意味がありません。
実際に復旧できることを定期的に確認し、ランサムウェアや障害発生時に迅速な復旧が可能な体制を整備することが重要です。
火事があったときに安全に避難する防災訓練と同じで、障害があったときに適切に復旧できるための訓練をしていただくと安心です。
ソフトウェアを最新の状態に保つ
OSやミドルウェア、CMS、プラグインなどの脆弱性は攻撃者に狙われやすいポイントです。
更新プログラムの適用を計画的に実施し、脆弱性を放置しないようにしましょう。
ログ監視を実施する
サーバーやネットワーク機器、クラウドサービスのログを確認することで、不審なアクセスや設定変更を早期に発見できます。
インシデント発生後の調査にも役立つため、ログの保存と監視は重要な対策です。
従業員教育を継続する
近年の攻撃では、特定の社員を狙ったフィッシングメールやソーシャルエンジニアリングが多く利用されています。
どれだけ優れたセキュリティ製品を導入しても、利用者の知識不足によって事故が発生する可能性があります。
加えて近年のAIの性能向上によって、かつてよりもフィッシングメールの内容が圧倒的に自然になってきており、油断していると簡単に引っ掛かってしまう恐れがあります。
定期的な教育や訓練を通じて、従業員のセキュリティ意識を高めることが大切です。
おわりに
情報セキュリティの三要素である「機密性」「完全性」「可用性」は、企業の情報資産を守るうえで欠かせない基本概念です。
しかし、単にセキュリティを強化するだけでは十分ではありません。機密性だけを重視すれば利便性が失われ、可用性だけを優先すれば安全性が損なわれる可能性があります。
企業のシステム担当者やネットワーク担当者には、三要素のバランスを意識しながら、自社の業務やリスクに応じた適切な対策を実施することが求められます。
情報セキュリティは一度対策を実施して終わりではなく、継続的な改善が必要な取り組みです。本記事をきっかけに、自社のセキュリティ対策が機密性・完全性・可用性の観点から適切に機能しているか、改めて見直してみてはいかがでしょうか。
弊社では、情報を適切に保護するための施策やサービスについても様々な形でサポートさせていただいております。もし情報セキュリティに不安があるという場合にはお気軽にご相談ください。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
