情報セキュリティの７要素

今回もＩＴシステムのセキュリティ脅威分析の派生で情報セキュリティの７要素についてお話しします。

情報セキュリティの３要素（CIA）

以前（第767号）のネット戦略の中で、情報セキュリティの３つの視点として、機密性・完全性・可用性をお話ししました。

情報セキュリティ、つまり情報の安全（保障）とは、情報の機密性・完全性・可用性が維持されている状態のことを示すということです。復習を兼ねて再度お話すると

Confidentiality(機密性)：許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性で、平たく言うと漏らさないことです。共有サーバーは鍵のかかった部屋に入れるとか、情報を許可なく持ち出さないとかといったことが対策になります。

Integrity(完全性)：資産の正確さ及び完全さを保護する特性で、改ざんされないことです。デジタル署名をつけたり、操作記録を残すといった事前対策はもちろん、バックアップといった事後対策も重要になります。

Availability(可用性)：許可されたエンティティが要求したときに、アクセス及び使用が可能である特性で、言い換えるといつでも使えるようにすることです。システムの二重化やクラウド化、無停電電源装置の設置といった対策が必要になります。

となっています。

情報セキュリティの７要素（４要素追加）

これに４つの要素（真正性・責任追跡性・否認防止・信頼性）を加えたのが情報セキュリティの７要素と呼ばれています。

JIS Q 27002 (ISO/IEC 27002)（情報セキュリティ管理策の実践のための規範）によると、情報セキュリティは「情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持を含む。」としています。

つまり、最初の３要素ほど必須ではないが、重視する必要がある要素ということです。昨今は情報セキュリティでより高度な対策が求められており、この４つが追加されたということです。正確にいうと真正性、責任追跡性、信頼性が最初に加わり、最後に否認防止が増えました。では、個別にお話すると

Authenticity(真正性)：その情報に偽りがないことを明らかにすることです。情報を取得、編集できる組織や個人が特定できるようにアクセス制限をきちんと行っている状態ということです。単なるパスワードだけでなく、二段階認証や多要素認証といった対策が必要になってきます。

Accountability(責任追跡性)：その情報がいつ、だれが、どのような操作を行ったかを追跡できるようにすることです。具体的には操作の記録を残すためにアクセスログやシステムログ、ログイン履歴といったデータを保存して後から確認できるようにします。できれば、不自然な操作記録は、システム管理者に警告がでるようにするとより良いです。

Reliability(信頼性)：情報機器が意図した操作を行い、その情報が正しく処理されることです。こちらはシステムの不具合を起こさないようにするための設計やプログラミングはもちろんですが、操作ミスにより、データが改ざんされたり、消失したりしないようにするようなフェールセーフ（故障しても安全）な仕組みを取り入れることも大切です。

Non-repudiation(否認防止)：その情報に関する操作が本人否認されないように証明することです。作成時に電子署名を付与することで本人以外がやっていないという仕組みを取り入れることや責任追跡性で記載したようなログ等の記録を残し、本人確認ができるような仕組みとセットにすることが効果的です。

といった感じです。最初の３要素を補填もしくは強化する感じだと思います。これからシステム構築や情報セキュリティを考えるのであれば、ぜひこの７要素で考えてください。