「セキュリティ」の意味とは？
情報セキュリティの定義や重要な要素について解説

「セキュリティ」の意味とは？

セキュリティはIT関連だけでなく、「ホームセキュリティ」など日常生活でもよく聞く言葉です。英語の「security」を辞書で調べると「安全」「無事」「安心」など一般的にイメージしやすい意味はもちろん、「安心感を与える防衛手段」「警備」「国の安全保障」などの意味もあります。ちなみにローンの「担保」や「株券」という意味もあります。大切な財産を守るものと考えると納得できるでしょう。

ITの世界では「セキュリティ」というと、企業の基幹システムや業務システム、社内ネットワークを外部の攻撃から守ること、あるいは顧客データや会社の重要情報などの機密データを不正流出などから守るといった広範な意味を持ちます。「セキュリティ対策」と呼ばれることも多いでしょう。特に近年、業務のデジタル化・ネットワーク化が当たり前となったことで、攻撃や不正流出などのリスクが増大し、企業経営におけるセキュリティの重要性が高まっています。

ITにおける「セキュリティ」には、大きく分けて次の3つがあります。「ネットワークセキュリティ」「コンピュータセキュリティ」「情報セキュリティ」です。それぞれについて見ていきましょう。

ネットワークセキュリティの定義

オフィス内のLANから全国の拠点をカバーするWAN、そして外部とのやりとりに使うインターネットまで、ネットワークの利用は今や日々のビジネスに欠かすことができません。また近年では、クラウドの利用やテレワークの進展で、社外から社内ネットワークにアクセスする機会が増えるなど、ネットワークの活用方法が広がっています。そして重要性が増し、利用方法が多様化するからこそ、外部からの不正アクセスなどのリスクも高まっています。
「ネットワークセキュリティ」とは、ビジネスのインフラともなっているネットワークの安全・安心な利用を実現し、維持することをいいます。

コンピュータセキュリティの定義

「コンピュータセキュリティ」は、OSやソフトウェアを定期的に更新して、脆弱性を防ぐこと。ウイルス対策ソフトを導入して、感染を防ぐこと。IDとパスワードを適切に管理して、不正利用を防ぐことなど、主に「コンピュータ」を対象にしてセキュリティを保つことをいいます。
ただし現在では、コンピュータを単体（スタンドアローン）で利用することはほぼありません。コンピュータの利用とネットワークの利用は切り離せないものになっており、コンピュータセキュリティとネットワークセキュリティは重なる部分が多くなっています。

情報セキュリティの定義

「情報セキュリティ」は情報、つまりコンピュータやネットワークを使って扱うデータを守るという意味になり、ネットワークセキュリティやコンピュータセキュリティを包括する広い意味をもちます。国際規格の「ISO/IEC 27002」やその日本語版である「JISQ27000」で、「機密性（Confidentiality）」「完全性（Integrity）」「可用性（Availability）」を維持することと定義されています。ちなみにこの3つの要素は、その頭文字をとって意味の「CIA」と呼ばれます。情報のCIAを守ることが情報セキュリティです。

情報セキュリティに重要なCIAとその他の要素について

情報セキュリティの要素として定められている機密性、完全性、可用性と、その他の要素について、詳しく見ていきましょう。

1．機密性

機密性（Confidentiality）とは、情報が外部に漏れたり、誰かに見られたりしないようにすることをいいます。つまり許可された人だけが情報にアクセスできるよう、情報に対する「アクセス権限」を厳重に管理することです。
企業はさまざまな情報を扱っていますが、ビジネスで重要になる顧客情報や新製品の開発情報、あるいは社内ネットワークにアクセスするためのパスワードなどは、外部に流出することがないよう厳重に管理しなければなりません。社員の個人情報も厳重な管理が必要です。こうした情報に簡単にアクセスできてしまう状態は、機密性が低い状態、あるいは機密性が守られていない状態であり、情報が流出してしまうとビジネスに悪影響を及ぼすばかりか、企業の信頼性や評判を傷つけることになります。
機密性を高めるためには、重要な情報は個人が使うコンピュータではなくアクセスが管理されたサーバに保存する、USBメモリなどの利用を許可しない、IDやパスワードは一定期間ごとに変更する、機密情報へのアクセス権限を設定するなどの手段を講じます。コンピュータやネットワークは使い勝手が進化し、ますます簡単に便利に使えるようになっていますが、その一方で機密性を守る手段がますます重要になっています。

2．完全性

完全性（Integrity）とは、情報が最新かつ正確で、すべて揃っている状態であることをいいます。つまり情報が誰かに改ざんされていたり、どこかが破壊されたりしていないことをいい、またそうした状態を維持することをいいます。完全性と聞くと、何やら難しい印象を受けますが、情報が最新のものであり、間違いなどがなく、足りないものもない、という極めて当たり前のことを表しているだけです。この当たり前のことが守られ、維持されていなければ、情報は役に立ちません。完全性が守られ維持されていなければ、情報の信頼性や正確性を保証することはできず、信頼性や正確性がなければビジネスは成立しません。
完全性を守り維持するためには、前述した情報の機密性を確保し、悪意を持った第三者によるデータの改ざんなどを防ぐことが不可欠です。また正しいアクセス権限を持った人でも、操作ミスなどでデータを削除したり、破損したりすることがあります。そうした場合に、バックアップから元のデータを復元できる仕組みを構築しておくことが欠かせません。さらに情報へのアクセス履歴や変更履歴を残すなどの仕組みとともに、データの取り扱いについて社員全員が意識を高めることも大切になります。

3．可用性

可用性（Availability）は、必要なときに、いつでも、すぐに使える状態にしておくことをいいます。機密性、完全性と比べると、一般的には馴染みのない言葉ですが、ITシステム関連ではよく使われる言葉です。情報セキュリティにおける可能性とは、必要な情報に常に問題なくアクセスできる状態を維持しておくことです。
具体的には、十分なネットワーク帯域を確保しておくこと、情報システムがダウンすることのないよう無停電電源装置（UPS）を整えておくこと、万一の場合に備えてシステムやネットワークを二重化しておくことなどです。
クラウドを活用して、どこからでもアクセスできる環境を整えることも可用性を実現する手段のひとつといえます。どんなに機密性が高く、完全性を厳密に維持できるシステムでも、ユーザにとって使いにくいシステムになっていては意味がありません。可能性はユーザの観点を忘れないための要素ともいえるでしょう。

4．真正性

真正性（Authenticity）とは、本物であること、また本物であることを証明することをいいます。情報セキュリティでは、情報にアクセスするユーザが正規のユーザ、つまり「アクセスが許可された者」であることを確実にしたり、証明したりすることです。具体的にはアクセスの際に、デジタル署名や多要素認証などを使って、正規のユーザであることを確認し真正性を維持します。

5．責任追跡性

責任追跡性（Accountability）とは、ユーザ（組織や個人）がデータに対して行った動作を追跡できるようにしておくことです。万一、データの破損や流出などが起きた時に、どのような動作が行われていたのか、あるいは誰が何をしていたのかが追跡できれば、原因の解明に役立ち、責任を問うことができます。具体的には、アクセスログや操作履歴を残すことで対策を行います。

6．否認防止

否認防止（non-repudiation）とは、データに対して誰かが行った動作や行為が、後から否認されないように証明できるようにしておくことです。前述の責任追跡性と関連しており、デジタル署名の導入、アクセスログや操作履歴を保存しておくことで、動作が行為を行ったことを証明し、行った人物が後から否認できないようにしておきます。

7．信頼性

信頼性（Reliability）とは、データを扱う情報システムに不具合やバグなどがなく、ユーザが意図したとおりに確実に動作することをいいます。ユーザが悪意を持って操作したり、操作ミスなどでデータを改ざんしてしまったり破損してしまったりする以外に、システムの不具合やバグによってもデータの改ざんや破損は起こりえます。情報セキュリティを実現していくうえにはきわめて当たり前のことですが、ユーザが意図したとおりに動作し、ヒューマンエラーを防ぐシステムが必要です。
具体的には、システムのバグを可能な限り減らす設計・構築を行う、バグは迅速に改修する、ユーザが操作ミスをしてもデータが改ざんされたり破損しない仕組みを整えるなどです。