情報セキュリティ要素の「可用性」とは
まずは、情報セキュリティ要素である「可用性」について解説します。
情報を必要な時に使える状態にすること
社内の情報を管理するためには、保存しているデータを使える状態にする必要があります。データ自体が保存されている場合でも、そのファイルが展開できなければ保管している意味がありません。
例えば、災害やシステムトラブルなどによってデータが破壊・消失してしまえば、可用性は乏しいといえます。
可用性の確保にはデータバックアップが不可欠
可用性を保つためにはデータのバックアップを行う必要があり、なるべく早く復旧させることが求められています。災害やシステム障害以外でも、ウイルスなどによるサイバー攻撃でデータが失われることは少なくありません。
他にも人為的なミスによってデータが破壊・消失してしまうケースもあるでしょう。このような場合に備えて、データのバックアップを行い、可用性を確保することが必要です。
情報セキュリティ要素の「機密性」「完全性」とは
情報セキュリティの「可用性」は、その他の要素である「機密性」と「完全性」が守られていることが前提で成立します。それぞれ重要な要素のため、以下で解説します。
機密性:情報を限られた者にしか公開しないこと
データの機密性とは、情報が外部に漏れないように管理することです。「外部」には社内の従業員も含まれるという点に、特に注意が必要です。重要な情報にはパスワードの設定やアクセス制限を行い、情報の機密性を確保しましょう。
また、機密データが保管されているエリアへの入室制限なども重要です。他にもID・パスワードの管理を徹底するルール作成も機密性確保に繋がります。
完全性:情報を正確かつ最新状態に保つこと
完全性とはデータの正確性を保持することです。そのためには、社内の体制を整える以外に、外部からのサーバ攻撃による改ざんを防ぐセキュリティ対策も必要です。また、機密性・可用性を確保して管理しているデータでも、間違った内容であれば意味がありません。
そのため、完全性を確保できるように注意しながらデータを管理しましょう。例えば、データを入力するときにダブルチェックを実施するなどの対策が必要です。
情報セキュリティ7要素
情報セキュリティの要素は、以上で紹介した3つが原則ですが、それ以外にも4つの要素があります。最後に、残りの要素も見ていきましょう。
真正性:情報や利用者が信頼できること
真正性とは、情報の内容が正しく、本物で信頼性があることを意味します。
本人を認証するシステムの有無が重要なポイントです。真正性を確保する具体的な方法にはデジタル署名などがあります。利用者本人であるかどうかだけでなく、プロセスやシステム、データ自体にも適用されます。
責任追及性:動作の追跡ができること
責任追及性とは、データの操作などの動作が誰によって行われたか追跡することです。
何かトラブルが起きたときに、データの責任追及性が確保できていれば原因究明などを行えます。そのためには、アクセスログや操作履歴を残しておくことが大切であり、その内容を改ざんされないようにします。
このように情報の作成や変更をした者を、特定できるように記録することが重要です。
否認防止性:行為などを証明できること
否認防止性はデータの内容を否認されないように証明することであり、責任追及性の中に含まれることもあります。この場合もデジタル署名などによって事実を否定できないようにすることが重要です。否認防止性があることで、より信頼できるデータとして認識されます。
信頼性:不具合が無く確実に動作できること
信頼性とは意図した動作と結果が一致していることです。具体的にはシステムのバグが発生しないように対策を行い、想定外の事態を防ぐことなどが該当します。システムの故障や動作に矛盾がなく、求められている達成水準をクリアしているかどうかがポイントです。
可用性を含めた情報セキュリティ要素を理解しよう!
情報セキュリティの可用性とは、情報を必要なときに使える状態にすることです。可用性を確保するためには適切にデータをバックアップすることが欠かせません。情報セキュリティの3要素だけではなく4要素を加えた以下の7要素を押さえることが大切です。
- ■可用性
- ■機密性
- ■完全性
- ■真正性
- ■責任追及性
- ■否認防止性
- ■信頼性
可用性を含めた情報セキュリティ要素を理解して、適切にデータを管理できる体制を整えましょう。