ITパスポートにもよく出るCIAって?(3要素から7要素へ)


「情報セキュリティ」とは何か

 企業や個人の情報資産を安全に取り扱うための3つの要素CIA(機密性、完全性、可用性)を確保することです。
この要素を確保する事により、データの流出、改ざん、破損、消失などの脅威から企業や個人のデータを守ることができます。

「機密性」とは何か

機密性(Confidentiality)とは情報が許可を受けた者にだけアクセスができるようにし、権限のない者から情報を守ることをいいます。

「機密性」を確保しないと…

 重要な情報(個人情報・パスワード・クレジットカード番号など)が漏えいし、悪意のある人により、その情報を悪用されてしまう恐れがあります。また、ECサイトではとても大切なユーザー情報もあり、とても重要視しています。

どのような対策を取るか

・ログインパスワードなどを用いて関係のない第三者のアクセス拒否する
・サイトからの悪意ある人の連続不正アクセスを防ぐ
・システム内部データへの不正アクセスを防ぐ

個人でも出来ること

・鍵や暗証番号による自宅の施錠
・スマートフォン・PCなどの端末にロック解除のためのパスワード
・顔認証などを登録
・登録しているサイトや銀行カードのパスワードを定期的に変更

「完全性」とは何か

 完全性(Integrity)とは、データを最新かつ一貫性をもった正しい状態のまま、維持することをいいます。

「完全性」を確保できないと…

 悪意のある人がデータを改ざんできてしまうと、データが正しくなくなり、信頼性がなくなる。
またデータが古いままであると、ユーザーが正しく判断できず、信用性がなくなる。

どのような対策を取るか

・データの改ざんをさせないために機密性の確保
・通信の暗号化やデジタル署名を用いること
・バックアップでの完全な復元
・データ編集時のダブルチェックで人為的ミスを未然に防止
・ログを記録しておくことにより対策を整える

「可用性」とは何か

 可用性(Availability)とは、システムを障害(機器やパーツの故障・災害・アクシデントなど)で停止させることなく稼働し続けること、またはその指標のことをいいます。

「可用性」を確保しないと…

 長期間のサービスが提供できず、停止期間にユーザーが離れる。また、アクシデントで損失した情報を取り戻せず再稼働が容易にできない。

どのような対策を取るか

・予備サーバーなどで負荷分散をさせる
・レプリケーションを作り、元のデータコピーを継続的にする
・外部の脅威からのサーバ―負荷を回避するためにIP制限などを用いる

新たに加わった4つの要素

上記の3つが従来からあるCIAの3要素でした。そちらに新たに加わった4つの要素の真正性、信頼性、責任追跡、性否認防止のこれらは、誰が情報へのアクションをしたかを確認できるようにすることや、システムが確実に目的の動作をすること、情報を後から否定されない状況を作る事で情報セキュリティを確保するものです。

「真正性」とは何か

 真正性(Authenticity)とは、情報にアクセスする企業や個人が「アクセス許可された者」であることを確実にするものです。

「真正性」を確保しないと…

 アカウントの乗っ取り、情報の漏えい、虚偽の申告など、情報を悪用されてしまう。

どのような対策を取るか

・二段階認証を行う
・多要素認証を設定する
・デジタル署名を設定する
・アクセスを制限する

「信頼性」とは何か

 信頼性(Reliability)とは、データやシステムを利用した動作が意図した通りの結果を出すことです。
ヒューマンエラーやプログラムの不具合によって、期待する結果が得られない事もあります。このような事態を防ぐための対策が必要です。

「信頼性」を確保しないと…

 システムの不具合が多発する。不要なファイルアクセスなどしデータ通信が重たくなり使用者が離れていく。サイトの評価が低くなる。

どのような対策を取るか

・システムが不具合を起こさない設計や構築を行う
・ヒューマンエラーが起こってもデータ改ざんしない仕組みを施す
・不具合の早期発見できるような環境を整える
・リカバリーできるように仕組みを構築する

「責任追跡性」とは何か

 責任追跡性(Accountability)とは、アクセスする企業や個人の動きを追跡して、データやシステムへの脅威が何であるか、どのような行為が原因なのかを追跡することです。

「責任追跡性」を確保しないと…

 不具合原因の追究に膨大な時間がかかる。不正アクセスに気づきにくく、対策が取れない。ユーザー問い合わせに返信時間がかかる。

どのような対策を取るか

・IPアドレスなどのアクセス履歴や通信ログを保存する
・操作履歴を保存する
・ログイン履歴を保存する
・デジタル署名を保存する

「否認防止」とは何か

 否認防止(non-repudiation)とは、情報が後に否定されないように証明しておく事です。

「否認防止」を確保しないと…

 証拠不十分で情報が改ざん・利用した本人を糾弾できない。

どのような対策を取るか

・IPアドレスなどのアクセス履歴や通信ログを保存する
・操作履歴を保存する
・ログイン履歴を保存する
・デジタル署名を保存する
・タイムスタンプを付与する
・フォレンジックを行える環境を整えておく

まとめ

セキュリティシステムが進化するのと同時にサイバー攻撃手法も日々進化、巧妙化しています。 そのため、あらゆるセキュリティ対策を検討し最新システムを導入することは大切なことです。
さらに重要なのはそれらを「維持」することです。常に最新の情報へアップデートし、セキュリティ対策を更新していくことで、攻撃のリスクを低減できます。
 企業でリモートが増えたことや個人情報保護法が改正されたこともあり、社員一人ひとりが情報の取り扱い対しての意識を高めることもとても重要になりました。また、個人・家庭内でもスマートフォンという便利なコンピュータを個人がもつ時代になり、個人へのサイバー攻撃も増大しています。

 情報セキュリティとは、システムだけではなく自分の身の安全も守るものでもあるので、常に関心を持ち、知識をアップデートしていくことが重要なことでしょう。

Currently unrated