機密性とは、情報セキュリティの3要素(CIA)のひとつで、許可された者だけが情報へアクセスできるよう制御する特性です。個人情報・企業秘密・国家機密など、漏えいすることで重大な損害が生じる情報を守るための根幹概念として位置づけられています。
なお、情報セキュリティの3要素とは機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)を指し、それぞれの頭文字を取って「CIA」と呼ばれます。機密性はそのなかでも、情報を「守る」という側面において最も直接的に関わる要素です。
機密性が損なわれた場合の影響は多岐にわたります。個人情報が漏えいすれば当事者のプライバシーが侵害されるだけでなく、組織は法的責任や社会的信頼の失墜を招きます。企業秘密や技術情報の流出は競争優位の喪失に直結し、国家機密の漏えいは安全保障上の深刻なリスクをもたらします。一度失われた情報の機密性を完全に回復することは極めて困難であるため、未然防止が最重要となります。
機密性を脅かす要因は多様です。外部からの不正アクセスやネットワーク盗聴といったサイバー攻撃だけでなく、内部の従業員による不正持ち出しや、誤ったメール送信先へのデータ誤送信といったヒューマンエラーも重大なリスクとなります。テレワークの普及により、社外のネットワーク環境からのアクセスが増加していることも、機密性確保をより複雑にしている要因のひとつです。
こうしたリスクへの対策として、まず基本となるのがユーザー認証の強化です。IDとパスワードによる認証に加え、多要素認証を導入することで、不正ログインのリスクを大幅に低減できます。次に、アクセス権限管理の徹底が重要です。職務上必要な情報にのみアクセスを許可する「最小権限の原則」を守り、情報の重要度に応じたアクセス制御を行うことで、万が一の際の被害範囲を最小限に抑えることができます。
通信経路における盗聴対策としては、SSL/TLSによる暗号化通信の導入が有効です。保存データに対してはデータ暗号化を施すことで、仮にデータが不正に取得されても内容を解読されるリスクを低減できます。さらに、物理的な入退室管理によってサーバルームや機密エリアへの不正侵入を防ぐことも、機密性確保の重要な柱のひとつです。
機密性の確保は、技術的な対策だけでは不十分です。従業員一人ひとりがセキュリティ意識を高め、情報の取り扱いルールを日常的に遵守する組織文化の醸成が、機密性を継続的に維持するうえで欠かせない要素となります。
a~cは情報セキュリティ事故の説明である。a~cに直接関連する情報セキュリティの三大要素の組合せとして,適切なものはどれか。
| a | 営業情報の検索システムが停止し,目的とする情報にアクセスすることができなかった。 |
| b | 重要な顧客情報が,競合他社へ漏れた。 |
| c | 新製品の設計情報が,改ざんされていた。 |
~「ITパスポート 平成24年度秋期」より
- 可用性:許可された者が、必要な時に必要な情報にアクセスできることを確実にすることです。検索システムの停止により利用者が情報にアクセスできないのは、可用性を損ねることになります。
- 機密性:許可された者だけが情報にアクセスできるようにすることです。顧客情報の流出は機密性を損ねます。
- 完全性:情報や情報の処理方法が、正確で完全であるようにすることです。設計情報の改ざんは情報の完全性を損ねることになります。
