1.情報セキュリティとは？

情報セキュリティとは企業や組織の情報資産を脅威から保護し、安全に利用するための考え方です。
情報セキュリティには基本的な３要素と付加的な要素として４要素を追加した合計７つの要素を意識する必要があります。
それぞれの要素はどれも軽視できない項目のため、各要素のご紹介をしていきます。
自社ビジネスにおいて、意識できていない部分などがありましたら、
これを機に改めてセキュリティに関してお考えいただければと思います。

2.情報セキュリティの基本の３要素

国際標準化機構(ISO)が策定した情報セキュリティマネジメントシステムに関する規格の一つである「ISO27001」。
こちらでは情報セキュリティの主な３要素として「機密性・完全性・可用性」が定義されております。

機密性

機密性とは許可された利用者だけが情報にアクセスすることが出来るようにすることです。
パスワードやIPアドレス制限などを活用して、必要な権限のみを利用者に付与することで情報資産への不正なアクセスを防ぎます。
不正アクセスや盗聴などによって機密性が損なわれると、データの流出や損失により企業の信頼性が失われる可能性があります。

完全性

情報資産が正確であり完全な状態であることです。
データを暗号化したり、バックアップやログ取得を行うことで、情報資産の改ざんや削除を防ぎます。
完全性を維持できなくなるとデータの信頼性が失われてしまいます。

可用性

許可された利用者が情報資産にアクセスしたい時に確実に利用できることです。
予備の環境を用意したり、バックアップを取得しておくことで、障害発生時などに情報資産へアクセス出来なくなることを防ぎます。
可用性が損なわれると、ビジネスの機会損失などに繋がる恐れがあります。

3.情報セキュリティの付加的な４要素

先程ご紹介しました３要素に追加して「真正性・責任追跡性・否認防止・信頼性」の４つの要素も定義されております。
これらを持って情報セキュリティの７要素と呼ばれます。

真正性

情報資産の利用者やシステム、情報などが「なりすまし」ではなく本物であることを確実にすることです。
２段階認証やデジタル署名、生体認証等を利用することで、万が一情報が漏洩したこと等によるなりすましが発生した際も、情報資産が不正に利用されることを防ぎます。
真正性が損なわれると、情報漏えいや損失により、企業の信頼性が失われる可能性があります。

責任追跡性

一連の操作・動作を追跡し、何か問題が発生した際に、過去に遡って責任を追求することが出来る状態を維持することです。
アクセスログや操作ログを取得することで、問題発生時の責任の所在が不明確になることを防ぎます。
責任追跡性が損なわれると、問題発生時の影響範囲の特定や原因の特定が出来ず、企業の信頼性の損失や２次被害に繋がります。

否認防止

利用者が行った操作について、証拠や記録を残すことで、後から否定できないようにすることです。
タイムスタンプや電子証明書、文章でのログを残しておくことで、何か問題が発生した場合に否認されることを防ぎます。
否認防止が出来ていなければ、不正行為が判明した際などに、犯人を責任を追求できなくなります。

信頼性

システムが意図した動作を確実に行っていることを担保することです。
メンテナンスによりバグや不具合の改修を行うことで、意図しない情報資産の改ざんや破壊、不正利用を防ぎます。
信頼性が損なわれてしまうと、情報漏えいやデータの損失などにより、企業の信頼性が損なわれる可能性があります。

まとめ

情報セキュリティの重要性は多くの方が理解しているかと思いますが、実際にどういった観点でどのように気をつけるべきかを把握できているとは限りません。
今回ご紹介した情報セキュリティの７要素を理解して、情報資産を安全に取り扱えるようにしましょう！
クラウド化に伴い、情報資産がインターネットを経由する場合も発生します。
しかし、それぞれのインフラ環境で必要な水準を満たしたセキュリティを保つのは難しいケースもあります。
弊社で取り扱う「Alkira」は、クラウドに最適化されたネットワークとセキュリティを同時に提供します。世界的に活用されている「Palo alt Networks」、「Check Point Software Technologies」や「Zscaler」などの堅牢なセキュリティソリューションと連携も可能です。
もしハイブリッドクラウド、マルチクラウド検討時のセキュリティ課題を感じておられましたら、ぜひ弊社にご相談ください！