以前のブログで、ISMSの取得には「情報セキュリティの三大要件」を維持することが必要だとお話しました。(参照:「情報セキュリティの三大要件」)

端的にまとめると、ISMS認証を取得するためには、社内のあらゆる情報資産に対して「機密性」「完全性」「可用性」が保たれていることが必要だということです。

これらの機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)は、頭文字をとってCIA(シーアイエー)と呼ばれたりもするのですが、今回の記事では、この「CIAが保たれない時」、具体的に言えば、「機密性、完全性、可用性が崩れるとき」とはどういう時なのか、具体的に説明していきたいと思います。

つまり、ISMS認証を取得するためには、これから以下で述べるような状態を起こさないようにする必要があるということです。

機密性が崩れるとき

最も有名な「機密性が保たれなくなる」例は、社外への機密情報の流出です。

具体的には、頻繁にニュースで取り上げられる、ショッピングサイトの利用者情報の流出や、営業秘密情報の流出などが考えられます。

これだけ聞くと、普通の社会人には他人事のように聞こえますが、実は普段の社内業務でも、機密性が崩れる「可能性がある」状態は、頻繁に発生しています。

例えば、パソコンのディスプレイに重要なファイルを開いたまま席を立ったり、重要な書類を机上においたまま退社したりしていないでしょうか。そのような状態は、機密性が崩れる一歩手前の状態です。

他にも、限られた一部の部署の社員だけが見られるファイルが、設定ミスによって他の部署の社員も閲覧できるようになっている、ということも、機密性が崩れる直前の状態と考えられます。

完全性が崩れるとき

完全性が失われる例として代表的なのは「情報改ざん」です。

具体的には、Webページが外部からのハッキングによって改ざんされたり、個人情報データベースの一部を書き換えられたり、といったことが考えられます。

こちらも身近な例をひとつ紹介します。それは、文字の入力ミスです。社内の重要度があまり高くない書類での入力ミスは余り問題にならないかもしれません。しかし、例えば紙媒体のアンケートで取得した情報をExcelに転記するときに情報を入力ミスしてしまうと、正確なデータではなくなるので、その時点で完全性が失われることになります。

可用性が崩れるとき

可用性が崩れる代表的な例は、システム障害によってサーバーにアクセスできなくなることです。

自社のファイルサーバーはもちろん、自社が利用している外部のソフトウェアアプリケーションに障害が発生し、情報が閲覧できなくなる状態も、可用性の喪失として考えることができます。

身近な例としては、書類の紛失です。いざ、その書類が必要なときに見つからなければ、それは可用性が崩れていることになります。

もっと身近な例では、机の上や引き出しの中が散らかっている状態も可用性が失われつつある状態といえるかもしれません。常に整理整頓をして、可用性を保つように心がけたいですね。

ISMS認証取得に絶対必要なCIAが保たれて「いない」具体例

カテゴリー: ISMS/ISO27001

以前のブログで、ISMSの取得には「情報セキュリティの三大要件」を維持することが必要だとお話しました。(参照:「情報セキュリティの三大要件」)

端的にまとめると、ISMS認証を取得するためには、社内のあらゆる情報資産に対して「機密性」「完全性」「可用性」が保たれていることが必要だということです。

これらの機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)は、頭文字をとってCIA(シーアイエー)と呼ばれたりもするのですが、今回の記事では、この「CIAが保たれない時」、具体的に言えば、「機密性、完全性、可用性が崩れるとき」とはどういう時なのか、具体的に説明していきたいと思います。

つまり、ISMS認証を取得するためには、これから以下で述べるような状態を起こさないようにする必要があるということです。

機密性が崩れるとき

最も有名な「機密性が保たれなくなる」例は、社外への機密情報の流出です。

具体的には、頻繁にニュースで取り上げられる、ショッピングサイトの利用者情報の流出や、営業秘密情報の流出などが考えられます。

これだけ聞くと、普通の社会人には他人事のように聞こえますが、実は普段の社内業務でも、機密性が崩れる「可能性がある」状態は、頻繁に発生しています。

例えば、パソコンのディスプレイに重要なファイルを開いたまま席を立ったり、重要な書類を机上においたまま退社したりしていないでしょうか。そのような状態は、機密性が崩れる一歩手前の状態です。

他にも、限られた一部の部署の社員だけが見られるファイルが、設定ミスによって他の部署の社員も閲覧できるようになっている、ということも、機密性が崩れる直前の状態と考えられます。

完全性が崩れるとき

完全性が失われる例として代表的なのは「情報改ざん」です。

具体的には、Webページが外部からのハッキングによって改ざんされたり、個人情報データベースの一部を書き換えられたり、といったことが考えられます。

こちらも身近な例をひとつ紹介します。それは、文字の入力ミスです。社内の重要度があまり高くない書類での入力ミスは余り問題にならないかもしれません。しかし、例えば紙媒体のアンケートで取得した情報をExcelに転記するときに情報を入力ミスしてしまうと、正確なデータではなくなるので、その時点で完全性が失われることになります。

可用性が崩れるとき

可用性が崩れる代表的な例は、システム障害によってサーバーにアクセスできなくなることです。

自社のファイルサーバーはもちろん、自社が利用している外部のソフトウェアアプリケーションに障害が発生し、情報が閲覧できなくなる状態も、可用性の喪失として考えることができます。

身近な例としては、書類の紛失です。いざ、その書類が必要なときに見つからなければ、それは可用性が崩れていることになります。

もっと身近な例では、机の上や引き出しの中が散らかっている状態も可用性が失われつつある状態といえるかもしれません。常に整理整頓をして、可用性を保つように心がけたいですね。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする