コラム
情報セキュリティのCIA+4要素
JIS Q 27000:2019で、情報セキュリティは「機密性(Confidentiality)」、「完全性(Integrity)」及び「可用性(Availability)」を維持することと定義されています。これら3つの要素(CIA)をバランスよく維持することは、セキュリティを担保する上では欠かせません。また、さらに以下の4つの要素を追加して、情報セキュリティの7要素とする場合もあります。より高度なISMSの構築につながる要素のため、ここで紹介します。
-
真正性(Authenticity)
情報にアクセスする人や端末が「本当に許可されているかどうか」を確実にすることを指します。多要素認証やデジタル署名など、認証方法を強化することが対策として考えられます。 -
信頼性(Reliability)
データやシステムを利用する際、意図した動作と結果が得られることを担保することを指します。不具合がないようにシステム構築を行うことや、ヒューマンエラーが起きないようなルール整備などが対策として考えられます。 -
責任追跡性(Accountability)
情報へのアクセスが、誰によってどのような手順で行われたのかを後から証明できるようにしておくことを指します。ログの取得や、デジタル署名などが対策として考えられます。 -
否認防止性(Non-repudiation)
問題発生後に、その原因となった人物から否定されないよう、後から証明できるようにしておくことを指します。先に説明した責任追跡性を担保することが対策につながります。
CIAの3要素だけでなく、上記の4要素も加えることで、より抜け漏れがないセキュリティ対策が期待できます。