IT統制にも必要な「情報管理」の考え方とは？機密性・完全性・可用性を徹底解説

現代の企業にとって、情報管理は避けて通ることのできない課題の一つです。いまや情報は資産であり、その活用が企業の成果や利益に直結するといっても過言ではないでしょう。ただし、情報が適切に扱えないことはリスクにもなるため、正しい情報管理を知り、施策を打つことは重要です。

この記事では、情報管理の概要や、情報管理の重要な柱となる機密性・完全性・可用性について解説します。
 

 

■情報管理とは？

ビッグデータ時代の現代において、情報は会社の経営にとって欠かせない資産となっています。情報管理とは、この資産である情報を適切に管理し、必要なときに取り出せるように保護し、流出させないことを指します。

情報管理が適切でない場合、現場では保有している情報を資産として十分に活用できないため、経営効率が悪くなるでしょう。それどころか、情報漏えいや不正アクセスが起こる恐れもあり、社会からの信頼を失う結果にもつながりかねません。

また、内部統制の一つであるIT統制においても、適切な情報管理が必須といえます。内部統制を構成する6つの要素は以下のとおりです。

• •    統制環境
• •    リスクの評価と対応
• •    統制活動
• •    情報と伝達
• •    モニタリング（監視活動）
• •    IT（情報技術）への対応

IT統制とは、内部統制の6つの基本要素の一つである「IT（情報技術）への対応」を達成するための活動です。つまり、社内のIT関連をシステム化して管理することは、企業の健全な経営のためにも重要です。

内部統制におけるIT統制とは？IT統制の役割や種類、担う部門について解説
 

 

■情報管理の重要性と情報資産を守る3要素とは？

情報資産を守るために重要とされる情報セキュリティの3要素は、「機密性（Confidentiality）」「完全性（Integrity）」「可用性（Availability）」です。これは、情報管理において一般的に求められる要素として広く知られています。

例えば、情報に関する各種認証規格においても、共通して「機密性」「完全性」「可用性」を保持できる管理体制が要求されています。もし、この3要素を確保できない場合、情報に関する外部評価を得られないため、企業としての競争力低下につながるでしょう。
 

 

■機密性の意味と対策方法

情報の機密性とは何か、機密性を高めるにはどうすればよいかについて解説します。
 

◇機密性とは

機密性とは、情報の漏えい・暴露を防ぐため、権限のないユーザーがアクセスできないように管理することです。機密性を保持することで、組織や個人の秘密情報が漏えいするリスクを最小限に抑えます。機密性を欠いている場合に起こる代表的な問題が、不正アクセスです。
 

◇機密性を高める方法

不正アクセス対策の基本は、情報にアクセスできる人を制限することです。具体的には、アクセスコントロールができるソフトウェアを使用した技術的な管理や、セキュリティカードによる入室管理といった物理的な管理があります。

ただし、機密性を高めるためとはいえ、過度に厳格なルールを設定してしまうと、社員の作業効率を下げたり、ルールの形骸化を生み出してしまったりするでしょう。

また、システムやルールを完全に構築していても、IDやパスワードを知った社内の犯罪者や、サイバー攻撃をする外部の犯罪者に対しては機密性を保持できない可能性もあります。
 

 

■完全性の意味と対策方法

情報の完全性とは何か、完全性を高めるにはどうすればよいかについて解説します。

◇完全性とは

完全性とは、情報に間違いがない・最新である・情報が欠けていない、という状態を満たしていることです。

完全性には、物理的完全性と論理的完全性の2種類があります。
 

・物理的完全性

物理的完全性とは、物理的なデータとしてその存在が保証されていることです。例えば、災害や障害の発生、停電、侵入者による物理的なデータサーバーの破壊、その他の人為ミスなどにより、物理的完全性は失われます。
 

・論理的完全性

論理的完全性とは、データが互いに整合性を保って存在することや、位置情報が正しく保持されていることなどを指します。例えば、リレーショナルデータベースのように、データを相互に結び付けて管理している場合、キーの設定や正規化が正しく行なわれていることによって論理的完全性は保たれます。

しかし、データベースの正規化や設定が不十分だと、データを利用するなかでデータ間に矛盾が生じ、論理的完全性は失われるでしょう。また、外部の攻撃者による改ざんなども、論理的完全性を失う原因になります。
 

◇完全性を高める方法

完全性の対策としては、データへのアクセスや改変の履歴を残してさかのぼれるようにする、バックアップシステムを手厚くするなどの措置が挙げられます。

ミスや攻撃によりデータの完全性が失われた際、履歴をさかのぼれるようにしておくことで、正しい状態を取り戻せます。また、正副の二重でデータを保持するなどバックアップを充実させれば、データ復旧時に役立つでしょう。

さらに、重要なデータは暗号化して保管・利用・転送することも有効です。これにより、悪意の第三者による改ざんや漏えいの際の被害を低減できるでしょう。

なお、これらの対策は、機密性の対策であるアクセス管理と並行して行なうこともポイントです。

 

■可用性の意味と対策方法

情報の可用性とは何か、可用性を高めるにはどうすればよいかについて解説します。
 

◇可用性とは

可用性とは、情報が必要なときに利用できる状態にしておくことです。

例えば、自然災害でサーバーがダウンした場合、バックアップがあることはもちろん、早急にデータ復旧できるようにしておかなければなりません。バックアップがあるだけではなく、実際にそれを使える仕組みが整っていることで、可用性が確保された状態になるのです。

そのため、可用性はシステムを継続的に稼働させることとも言い換えられます。
 

◇可用性を高める方法

可用性を確保するためには、前提として「機密性」と「完全性」が確保された状態が必要です。外部に不用意にさらされていない、正しいデータが確保された状態があってこそ、それをいつでも使えるようになります。

可用性確保の具体的な方法としては、システムやデータベースの二重化が挙げられます。例えば、関東支社と関西支社など物理的に離れた位置に二重でデータを持ち、関東支社が機能停止になっても関西支社が肩代わりできる体制にすることで、可用性を確保できるでしょう。
 

 

■情報管理はセキュリティ確保と利活用の両立がポイント

データの誤送信や情報機器の盗難、不正アクセスといった情報セキュリティの問題は、企業にとって大きな損失につながるリスクです。しかし、リスクを恐れすぎてデータを利活用できない状態になっては、現代の情報社会におけるビジネス戦略として不適切といえるでしょう。

一方で、日々進化するIT技術の利便性や機能面ばかりに注目しすぎて情報管理がおろそかになると、情報セキュリティ上の問題につながりかねません。

情報の取り扱いにおいてセキュリティを確保しつつ利活用するためには、「機密性」「完全性」「可用性」の3つの要素をバランス良く考え、システムの開発や調達、ルールの運用を行なうことが重要です。
 

■運用面での情報管理にはトラスト・ログインがおすすめ！