機密性・完全性・可用性とは?脆弱性との関係や意味の違いをどう理解すべきですか?
現在、ISMS取得の準備をしていますが、解らない用語があります。
※「リスク分析表」で特定された各プロセスにおいて、機密性、完全性、可用性の観点から、脅威を洗い出す。
上記の「機密性」、「完全性」、「可用性」はどういうふうに理解すれば良いのですか。
それと、「ぜい弱性」とは単純に弱点のことなんですか?
ISMS(ISO 27001)の取得準備を進める際、避けて通れないのが「情報セキュリティの3要素(CIA)」と「リスクの構造」の把握です。これらを単なる用語としてではなく、自社の「守るべき価値」と「守り方」の基準として捉えることが、審査をスムーズに進める鍵となります。
1. 情報セキュリティの3要素「CIA」とは?
「機密性」「完全性」「可用性」は、重要な情報の改ざんや消失、物理的な破損を防ぎ、安全に情報を取り扱うために意識すべき要素を定義したものです。英語の頭文字をとってCIAと呼ばれます。これらは「情報がどのような状態であれば安全か」を定義する指標です。
| 要素 | 意味(わかりやすく言うと) | 損なわれた状態(リスクの例) |
|---|---|---|
| 機密性 (Confidentiality) | 「見せたい人だけに、見せる」 許可された人だけが情報にアクセスできる状態。 | 情報漏えい: 不正アクセスや、メールの誤送信で部外者に情報が見られる。 |
| 完全性 (Integrity) | 「正しく、最新の状態に保つ」 情報が改ざんされたり、壊れたりしていない正確な状態。 | データの改ざん・欠損: Webサイトの書き換えや、計算式のミスによる誤った情報の流通。 |
| 可用性 (Availability) | 「使いたい時に、いつでも使える」 必要な時にいつでも情報やシステムが利用できる状態。 | システムダウン: サーバー停止や災害による停電で、業務がストップしてしまう。 |
実務でのポイント
情報資産(業務関係の資料や個人情報、PCやサーバーや撮影機器など)の価値(会社としての資産の重要度)を示すための要素として使用されています。
リスク分析においては、これらの要素ごとに「これが損なわれたら、会社はどれだけ困るか(影響度)」を、以下のような数値化(1〜4点など)して評価します。
例えば、Webサイトが止まっても数時間は許容できるが、顧客データが漏洩したら事業継続が危ぶまれる場合、「可用性」より「機密性」のランクを高く設定することになります。
- 機密性:
- 【公開】社外一般にアクセス可能な資産。漏洩した場合に、ほとんど影響がないもの。
- 【社内】社内一般にアクセス可能な資産。漏洩した場合、自担当のみに影響がでるもの。
- 【秘密】特定の関係者のみにアクセス可能な資産。漏洩した場合、部門全体に影響がてるもの。
- 【極秘】所定の関係者のみにアクセス可能な資産。漏洩した場合、会社全体に影響がでるもの。
- 完全性:
- 【低い】正常に動作しない場合、業務の支障はほとんどない。
- 【中程度】正常に動作しない場合、自担当のみに影響がでるもの。
- 【高い】正常に動作しない場合、限られた部署に影響がでるもの。
- 【非常に高い】正常に動作しない場合、会社全体に影響がでるもの。
- 可用性:
- 【低い】一日利用不可能でもほとんど業務に影響がでない。
- 【中程度】利用不可能の場合、自担当のみに影響がでるもの。
- 【高い】利用不可能の場合、部門全体に影響がでるもの。
- 【非常に高い】利用不可能の場合、会社全体に影響がでるもの。
例えば、資産「個人情報」の場合だと、非常に会社にとって価値のある資産であるため、以下のような評価になります。
- 「機密性」が損なわれた場合:ランク4(4点)「会社全体に影響でる。」
- 「完全性」が損なわれた場合:ランク4(4点)「会社全体に影響でる。」
- 「可用性」が損なわれた場合:ランク4(4点)「会社全体に影響でる。」
2. 「脅威」を洗い出すとはどういうことか?
質問にある「各プロセス(業務工程)において脅威を洗い出す」とは、その業務で使用する資産に対して、CIAを脅かす要因は何かを見つける作業です。
- 機密性を脅かす脅威:盗難、紛失、のぞき見、ウイルス感染
- 完全性を脅かす脅威:入力ミス、プログラムのバグ、意図的な改ざん
- 可用性を脅かす脅威:HDDの故障、通信障害、災害(火災・地震)
「各プロセス」とは、単なる「PC」というモノではなく、「受注管理」「給与計算」といった業務の流れ(ビジネスプロセス)を指します。その一連の流れの中で、どこにリスクが潜んでいるかを3要素の視点で点検します。
3. 「ぜい弱性」は単なる「弱点」以上の意味を持つ
「ぜい弱性」は確かに「弱点」と言い換えられますが、ISMSにおいては「脅威が付け入る隙」と理解すると実務に活かしやすくなります。
例えば、「不法侵入(脅威)はドアなどの施錠忘れ(ぜい弱性)を突いて会社が保有する資産に危険(リスク)を及ぼす。」となります。
「リスク」が発生するメカニズム
情報セキュリティにおけるリスクは、以下の数式でイメージしてください。
- リスク = 資産の価値 × 脅威(外敵) × ぜい弱性(隙)
【具体例:空き巣で例えると】
- 資産:家の中にある現金や貴金属
- 脅威:空き巣(外からの攻撃者)
- ぜい弱性:窓の鍵が壊れている、あるいは鍵をかけ忘れている(自社の弱点)
どんなに「空き巣(脅威)」が多くても、「鍵をしっかりかける(ぜい弱性の解消)」ことで、被害に遭う「リスク」を下げることができます。
ITの世界で言えば、「OSのアップデート未実施」や「パスワードの使い回し」が典型的なぜい弱性です。脅威そのものを無くすことは難しいですが、ぜい弱性を管理することで、リスクをコントロールするのがISMSの本質です。
まとめ:ISMS構築に役立つ独自の視点
ISMSの用語は一見難解ですが、整理すると非常に論理的です。
- CIA(機密性・完全性・可用性)で、情報の「守りたいレベル」を決める。
- そのレベルを脅かす「脅威」が、どこに潜んでいるかを業務(プロセス)ごとに探す。
- 脅威につけ込まれる自社の「ぜい弱性」を見つけ、対策を打つ。
この構造を理解してリスク分析表を作成すると、審査員に対しても「なぜこの対策が必要なのか」を自信を持って説明できるようになります。
