// シス担のミカタ
セキュリティの基本概念

情報セキュリティ じょうほうせきゅりてぃ

CIA トライアド機密性完全性可用性リスク管理サイバーセキュリティ
情報セキュリティについて教えて

簡単に言うとこんな感じ!

大切な情報を「見せたくない人に見せない」「勝手に書き換えさせない」「必要なときに使える」状態に保つことだよ!会社の金庫を守るガードマンみたいなもので、デジタルな情報を守るための考え方や仕組み全体のことなんだ。

情報セキュリティとは

情報セキュリティとは、組織や個人が持つ情報資産を、さまざまな脅威から守るための考え方・ルール・技術の総称です。単に「ハッカーを防ぐ」だけでなく、「うっかりミスによる情報漏えい」や「自然災害によるデータ消失」なども対象に含まれます。

国際標準の ISO/IEC 27001 では、情報セキュリティを「情報の機密性完全性可用性を維持すること」と定義しています。この3要素は CIA トライアド(CIAの三角形)と呼ばれ、情報セキュリティを考えるうえで最も基本的な枠組みです。

現代のビジネスでは、顧客データや設計図・財務情報などが会社の重要な資産です。これらが漏えいしたり改ざんされたりすると、法的責任・信頼失墜・業務停止といった深刻なダメージにつながります。情報セキュリティは「コスト」ではなく、経営リスクを管理するための投資として捉えるのが現代の常識です。

CIA トライアド:情報セキュリティの3本柱

情報セキュリティの核心は、次の3つの性質を同時に守ることにあります。

CIA トライアド(情報セキュリティの3本柱) 機密性 Confidentiality C 許可された人だけが 情報にアクセスできる 例:パスワード認証、 暗号化、アクセス制御 完全性 Integrity I 情報が正確・完全で 改ざんされていない 例:ハッシュ値検証、 デジタル署名、ログ管理 可用性 Availability A 必要なときに必要な人が 情報を使える状態を保つ 例:バックアップ、 冗長化、DRサイト 3つすべてを同時に満たすことが「情報セキュリティが守られている」状態
要素英語頭文字一言で言うと壊れると…
機密性ConfidentialityC見せるべき人だけに見せる情報漏えい・プライバシー侵害
完全性IntegrityI正確・改ざんなしを保証するデータ改ざん・虚偽情報の拡散
可用性AvailabilityA使いたいときに使えるシステム停止・業務の中断

覚え方:「CIA(シーアイエー)」で覚える

アメリカの諜報機関 CIA と同じ頭文字!「情報を守るプロ=CIA」とイメージすると忘れにくいですよ。

近年追加された要素

基本の3要素に加え、ISO/IEC 27001:2022 などでは以下も重要視されています。

追加要素意味
真正性(Authenticity)情報・人物が本物であることの保証
責任追跡性(Accountability)誰がいつ何をしたか追跡できること
否認防止(Non-repudiation)「やっていない」と後から言えないようにすること
信頼性(Reliability)システムが意図した通りに動くこと

歴史と背景

  • 1970年代 — コンピュータの普及に伴い、米国防総省が機密データ保護の研究を開始。「オレンジブック(TCSEC)」が初期の標準となる
  • 1990年代 — インターネットの商業利用が爆発的に拡大し、企業・個人の情報がネットワーク上を行き来するように。不正アクセスやウイルス被害が急増
  • 1995年 — 英国が BS 7799(後の ISO/IEC 27001 の前身)を策定。情報セキュリティの「管理体系」という概念が広まる
  • 2000年代個人情報保護法(日本では 2005年施行)が制定され、企業に法的義務が生まれる。セキュリティは「技術部門だけの話」から経営課題
  • 2010年代 — クラウド・スマートフォンの普及により境界型セキュリティ(社内=安全、社外=危険)が崩壊。ゼロトラストという新しいアプローチが登場
  • 2022年 — ISO/IEC 27001 が改訂(2022年版)。サプライチェーンリスクやクラウドセキュリティなど現代的な脅威への対応が強化される

サイバーセキュリティとの違い

「情報セキュリティ」と「サイバーセキュリティ」は混同されがちですが、厳密には範囲が異なります。

情報セキュリティ vs サイバーセキュリティ 情報セキュリティ (広い概念) ・紙の書類の管理 ・入退室管理 ・廃棄物管理 サイバーセキュリティ (デジタル・ネットワーク限定) ・不正アクセス対策 ・マルウェア対策 ・脆弱性管理 情報セキュリティ ⊃ サイバーセキュリティ(サイバーは情報セキュリティの一部)
比較項目情報セキュリティサイバーセキュリティ
対象範囲デジタル+アナログ(紙・口頭も含む)デジタル・ネットワーク限定
脅威の例書類の盗難、内部不正、自然災害も含む不正アクセス、マルウェア、DDoS
担当部門全社的な管理体制IT部門・セキュリティ専門チーム
主な規格ISO/IEC 27001、ISMSNIST CSF、CIS Controls

関連する規格・RFC

規格・番号内容
ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)の国際標準。認証取得で対外的な信頼性を示せる
ISO/IEC 2700227001 の実践規範。具体的なセキュリティ管理策を93項目にわたって解説
NIST SP 800-53米国国立標準技術研究所による連邦政府向けセキュリティ管理策カタログ
NIST CSFサイバーセキュリティフレームワーク。識別→防御→検知→対応→復旧の5機能で整理
JIS Q 27001ISO/IEC 27001 の日本産業規格版。内容はほぼ同一

関連用語

  • ISMS — 情報セキュリティマネジメントシステム。情報セキュリティを組織的に管理するための仕組み
  • リスクマネジメント — 情報セキュリティリスクを特定・評価・対処するプロセス
  • ゼロトラスト — 「社内だから安全」を前提にせず、すべてのアクセスを検証するセキュリティモデル
  • 暗号化 — 機密性を保つための代表的な技術。データを第三者に読めない形式に変換する
  • 脆弱性 — システムやソフトウェアに存在するセキュリティ上の弱点
  • 個人情報保護 — 個人に関する情報の適切な取り扱いを定めたルール・法律の総称