情報セキュリティには、必ず確保しなければならない下記の「三大要件」が存在します。
ISMSをご存じの方にはおなじみですが、一般的には具体的にどの様な内容か、イメージが湧きにくいかも知れません。
今回はこの三大要件について解説していきます。
情報セキュリティの三大要件
1 機密性
まず一つ目は「機密性」です。定義としては下記をご覧ください。
認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また開示しない特性
…わかりにくいですね。
簡単に言ってしまうと、権限の無い者に「漏らすな」「使わせるな」ということで、一般的に、“情報セキュリティ”と言われて、真っ先に思いつくもののことを指しています。
“漏えいさせないようにする”というのはすぐわかりますね。しかし「使用させず」という言葉が入っている点に注意が必要です。
「見られてはいないけど、使われている」という状況は、現実的に起こり得るのでしょうか?…この状況、実はよく起こるのです。
例えば、「バックアップ」などが該当の状況と言えます。データをコピーする際、中身を確認しながら行うことはあまりありませんよね。でも実際には、データは使用されています。「情報は漏れてません」と言っていても、日々業務中に行われている「バックアップ」や「コピー」に関して、認可を明確にしているでしょうか。機密性では、ここまで注意が必要となるのです。
2 完全性
二つ目が「完全性」です。用語の定義は下記です。
正確さ及び完全さの特性
つまり「間違ってないこと」「不足してないこと」を指しています。
完全性が欠けるといったケースには「データの改ざん」等が該当します。Webサイトが改ざんされることは近年よくあるインシデントです。一般的には、情報漏洩等の機密性に比べ、インパクトの小さいものと認識されている傾向があります。
しかし、これからの時代、完全性の確保は非常に重大な意味を含んでいるのです。なぜなら、IoTが普及する時代となるからです。
完全性を脅かす「IoT」
IoT(Internet of Things)により、家電を始め、生活に関わる様々な製品がネットワーク化されてきています。
この様な状況で、データが改ざんされるとどうなるでしょうか?例を挙げてみると、分かりやすいかもしれません。
- お風呂の給湯器は上限温度が制御されていますが、その上限温度の数値が改ざんされたら…?
- 自動停止機能などが付いてる車は安全と思われていますが、障害物との距離を示す数値を改ざんされたら…?
- 手術中に患者の容体を確認するバイタルチェックを装置のデータを改ざんされたら…?
これらは全て例えですが、どれも人命にかかわる重要なデータです。完全性の喪失は、これからの時代、大事故に繋がってしまうかもしれないという、大変危険な可能性を秘めているのです。
3 可用性
三つ目が「可用性」です。用語の定義は下記です。
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性
つまり、「必要な人が必要なとき使える」ということです。いくら良い情報があったとしても、使えなかったら意味がないのです。
この可用性の確保に関しても、近年注目が高まっています。
可用性確保を脅かす「ランサムウェア」
可用性確保が注目される理由は、世界中で発生する「ランサムウェア」によるサイバー攻撃です。
内容としては、まずウィルスを送り込みPCに感染させ、これまでの様に情報を盗むのではなく、「暗号化」等をして使用出来なくし、身代金として金銭を要求するといった一連の攻撃です。これが、世界中で爆発的に増加しています。
身代金を払ってしまった例で言えば、米国の病院で患者のカルテデータが暗号化されてしまった例があります。本来であれば、多少の損害は覚悟してでも、身代金要求には毅然とした態度で拒否するべきなのですが、この場合は人命に関わりました。病院の判断は責められるものではないと思います。
また、身代金の支払いに関しては、ビットコインが用いられるため、足がつきにくくなっています。この様な環境を考えると、今後もランサムウェアの攻撃は増加していくことが予想されます。
まとめ
情報は漏れないようにすれば良いというわけではありません。
- 漏れたらどうなるか
- 改ざんされたらどうなるか
- 使えなかったらどうなるか
「機密性」「完全性」「可用性」の喪失により、どの様な影響が発生するのか、そのリスクを想定することが重要なのです。その為にはまず、今何が起こっているかを知ることが大切です。
一昔前であれば、機密性を意識しているだけでも、世間は情報セキュリティ対策を考えている優良企業と思ってくれたかも知れません。しかし、現在では「漏れなければ大丈夫」という考え方は時代錯誤です。経営層から現場に至るまで「情報セキュリティとは何なのか、何を守ることなのか」を理解することが必須なのです。
次回は、日本のISMS最大の課題である、「管理策の考え方」を解説させていただきます。