【BONXのセキュリティ】「CIA Triad」への取り組み

【BONXのセキュリティ】シリーズの第1回では、情報セキュリティの概念とBONXの実装方針について説明しました。しかし、「効果的な」情報セキュリティとは具体的に何かについては言及していません。

したがってシリーズ第2の記事では、機密性、完全性、可用性の概念を紹介します。これらを組み合わせると「CIAトライアド（CIA Triad）」が形成されます。3つの概念に対してBONXがどのような取り組みを行っているのかについても簡単にご紹介します。

【BONXのセキュリティ】情報セキュリティマネジメントシステム（ISMS）のご紹介
【BONXのセキュリティ】共用アカウントのメリット・デメリットと活用方法

CIAトライアドとは何か

CIAトライアドは、3つの概念の相互依存性を表す業界用語です。それらの概念は「機密性」、「完全性」、「可用性」と呼ばれます。情報セキュリティを「効果的に」行うためには、3つの要素すべてに対する対策を検討することが不可欠です。
これらの概念のいずれか一つでも欠けていると、潜在的なリスクがビジネスまたは組織の目標達成能力に重大な影響を及ぼし、次のような被害から複数の問題につながる可能性があります。

• 業務の中断
• 有形および無形資産の損失
• 財務上および規制上の罰則
• 顧客と株主の信頼の喪失

機密性

前回の記事で説明したISO 27001標準の公式定義リストであるISO 27000によると、機密性とは次のことを指します。

情報が許可されていない個人、団体、またはプロセスに利用可能または開示されないという特性 https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en

情報を保管、取り扱い、送信する際には「機密性」を遵守することが重要です。医療や電気通信分野など、一部の規制産業では機密保持が要件となります。また、人々はプライバシー保護が強化された製品の利用を好む傾向があります。

BONXでは、個々の顧客環境を適切に分離し、チャットルームとその内部のデータと会話にアクセスできるユーザーを管理するための制限を設けることでシステムの機密性を確保しています。

完全性

ISO 27000によれば、完全性とは次のことを指します。

正確さ及び完全さを保護する特性
https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en

言い換えれば情報は可能な限り本物であり、情報源と一致する必要があります。整合性チェックは特にユーザーの認証や検証のフェーズで完全性を保証する通常の方法です。

BONXではアカウントを特定のデバイスに固定するデバイス認証機能により、整合性を確保しています。こうすることで、割り当てられたアカウントを使用している人が本人であることをほぼ確実に確認できます。

可用性

最後にISO 27000に戻ると、可用性とは次の意味を指します。

認可された実体が要求したときに、アクセスおよび使用が可能である特性 https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en

コンピュータは瞬く間に情報にアクセスする能力を備えています。私たちはこのレベルのアクセス速度に慣れているため、遅延が生じた時に抵抗を感じます。
サービスの読み込みに時間がかかる場合、またはサービスにアクセスできない場合、多くのユースケースにおいてそのサービスは信頼性が高く有用であるとは見なされません。

BONXではいつでもサービスをご利用いただけるよう最善を尽くしております。当社のサービスは、高可用性で知られるAmazon Web Services (AWS) でホストされています。
また、当社は最近、あらゆる状況や障害にできるだけ迅速かつ効率的に対応できるよう、会社の事業継続計画 (BCP) を改訂しました。

結論

この記事ではCIAトライアドの概念を紹介しました。また、BONXがトライアドの各コンポーネントをどのように実現するかについても簡単に説明しました。

BONXは常に情報セキュリティ体制の向上に努めておりますので、最近の取り組みについてご興味がございましたらお気軽に営業チームまでお問い合わせください。