情報セキュリティの特性（CIA）と付加的特性

情報セキュリティとは、情報資産やシステムを、天災や外部からの攻撃から保護して、正常に業務が遂行できる状態にしておくことだ。ISO27000:2018 によると機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）を保証することと定義されている。簡単にまとめると、機密性は「悪人が見つけないようにちゃんと隠している」、完全性は「情報は正確なままにしている」、可用性は「使いたいときに使える」状態だ。

つまり「正しい情報をいつでも使える状態を保つ」ということで、それが大事なのはとりあえずわかる。ではそのために何が必要か。ISO27000:2018 では付加的な特性として真正性、否認防止、信頼性を挙げている。

真正性は「入口で誰何してしそれが誰か、何かを確実にすること」、責任追跡性、否認防止は「改ざんできない記録を残して、人やシステムがやったことを証明できること」、信頼性は「いつも期待した通りに動くこと」だ。

総務省は2015年から2022年までに、サイバー攻撃関連のパケットが8.3倍に増加していると報告し、警視庁は、2022年から2023年にかけてサイバー犯罪の検挙件数が 1844件から3611件で約2倍に、ランサムウェアの被害報告件数は、2021年の146件から2023年の222件と約1.5倍に増加していると報告した。

情報システムを運用、保守するときに、機器の故障やシステムの不具合など、ものだけを気にする時代は終わった。内外の悪意ある人間からも保護しながら、安定した運用を続ける必要がある。このために、システムの理想的な状態を示す「機密性」、「完全性」、「可用性」（CIA）だけでなく、それを守るために何をするのかという付加的特性、真正性、責任追記性や否認防止、信頼性も重要になっている。