企業の情報を守るセキュリティ三原則とは

情報資産を守る

企業の持つ資産は、物的あるいは人的なものに限られません。 現代の高度な情報化社会においては、企業の持つ情報資産を外敵から守ることが重要です。

情報資産とは、顧客情報や販売情報といった情報自体の他に、 ファイルや電子メール、パソコンやサーバー、記録媒体や紙の資料も含まれます。

これらの情報資産を悪意ある攻撃者から守ると同時に、 適切に管理・運用するためのセキュリティ原則として、「機密性・整合性・可用性」の三原則があります。

機密性

機密性とは、許可された個人やシステムだけが情報にアクセスでき、 権限のない者には情報開示をしない状態を維持・確保することをいいます。 機密性を保つためには、暗号化やアクセス制御、データ分類、企業・組織内の適切な人員教育が重要です。

整合性

整合性とは、保有する情報が正確かつ完全であり、信頼が確保されていることをいいます。 これは同時に、情報に不正な修正が行われていないことを意味します。 攻撃者のウイルスにより整合性が損なわれることのないよう、 アクセスコントロールや侵入検知などの仕組みを利用し、警戒する必要があります。

可用性

情報は、適切な時期に適切なタイミングで利用できなければなりません。 可用性は、権限のある者が必要なときにいつでも情報を引き出すことができることをいいます。 可用性を維持するためには、重要なシステムに関してはバックアップを取り、 何かあれば速やかにシステムを通常状態に復帰できるようにしておく必要があります。

可用性を阻害する代表的な攻撃がサービス拒否（DoS）攻撃です。 これに備え、侵入検知システムやファイアーウォールなどで防衛を怠らないことが大切です。

三原則以外のセキュリティ原則

この他にも、以下のような原則があります。

信憑性

情報を送り合う当事者について互いに本人確認がなされ、データや文章が本物であることを保証すること。

否認防止

特定の者が情報やネットワークを利用したり、アクセスしたことを否定できないよう、証拠を残しておくこと。

識別

ユーザー名やアカウント番号により、別の誰かではなく、本人が利用していることを見分けること。

認証

パスワードや暗号キーなどにより、データや実体が正しいか確認すること。

承認

正しく認証された後に、認証された者に対し、その者に許可されるべきアクセスや行為のみを認めること。

三原則を踏まえた対策を

企業や組織においては、守るべき情報資産について、重要度別に分けて適切に管理し、 機密性、完全性、可用性の三原則を念頭に置きながら、バランスよく対策を行うことが大切です。