今や、目には見えないとても大切な資産となった「情報」。その重要な情報資産を守るために、情報セキュリティの三原則という言葉があります。国際規格のISO 27001では以下のように定義されています。
・機密性(Confidentiality):許可された人だけが情報にアクセスできるように制限すること。
・完全性(Integrity):情報が改ざん・破損されていない、正確で信頼できる状態を維持すること。
・可用性(Availability):必要なときに情報やシステムにアクセスし、利用できる状態を維持すること。
頭文字をとってCIAとも呼ばれ、これらのどれか1つでも欠けることは「セキュアではない(セキュリティが守られていない)」と判断されます。
例えば、大切な情報を封筒に入れて、金庫に閉まって鍵を捨てれば安全かもしれませんが、使いたいときに使えないので「可用性」が満たされません。
何とか金庫をこじ開けても、保管していた紙の印字が色あせて読めなければ、情報のすべてが把握できず「完全性」が満たされません。
では紙の異常を見極めるために透明の封筒に保管すると、誰でも見えるので「機密性」が満たされません。
「機密性」ばかりが重要視されがちですが、意外に大切なのは「完全性」です。大切に保管していた情報が改ざんされて正しくなくなったら、一部を失っていたら……漏れても困りますが、意味を成さなかったら未来はなさそうです。
一度、情報資産を洗い出し、きちんと三要素が満たされているかどうかを振り返ってみるのも悪くないと思います。
