機密性(Confidentiality)
機密性(Confidentiality)とは、
情報セキュリティにおける基本原則の一つであり、
「情報が不正なアクセスや漏えいから保護され、正当な権限を持つ主体のみがアクセスできる状態を維持すること」を指す。
機密性の重要性
機密性は、組織および個人が保有する重要情報を、
悪意のある第三者や競合組織、権限を持たない内部関係者から保護することを目的とする。
機密性が損なわれた場合、以下のような影響が発生する可能性がある。
経済的損失(損害賠償、取引停止)
社会的信用の失墜
事業競争力の低下
特に、近年は
クラウド 利用拡大や
リモートワーク の普及により、
「境界防御だけでは機密性を維持できない」状況が顕在化している。
機密性の対象となる情報
機密性の保護対象は、情報の種類や価値に応じて定義される。
代表的な例は以下の通りである。
個人情報
顧客・従業員の氏名、住所、電話番号、メールアドレス、マイナンバー等の情報。
これらは
個人情報 や
要配慮個人情報 として法的な保護義務が課される場合がある。
企業秘密
製品仕様、研究開発情報、特許関連資料、営業戦略、価格戦略など、
競争優位性に直結する情報。
営業秘密 として法的に保護されるケースもある。
機密文書・業務情報
契約書、財務情報、内部報告書、設計書、構成図など、
組織運営に関わる内部情報。
これらの情報は、
情報資産管理 や
情報分類 により、
機密度レベルを定義した上で管理されることが望ましい。
機密性を脅かす代表的な脅威
機密性に対する脅威は、技術的要因と人的要因の双方から発生する。
端末の紛失・盗難
試験問題では、「どの脅威が機密性を侵害しているか」を問われる形で出題されることが多い。
機密性の確保方法
機密性を確保するためには、複数の対策を組み合わせた多層防御が必要である。
アクセス制御
IAM(Identity and Access Management)
暗号化
暗号化は、情報が第三者に取得された場合でも内容を解読できないようにする対策である。
暗号化は「実装」よりも「鍵の管理・運用」が重要である点が試験・実務ともに頻出論点である。
物理的セキュリティ
情報システムだけでなく、物理的な情報資産の保護も機密性の一部である。
入退室管理
監視カメラ
施錠
媒体管理(USB、紙媒体)
教育・運用対策
技術対策だけでは機密性は担保できない。
インシデント報告ルールの整備
機密性に関する具体例
銀行の顧客情報システムでは、口座番号や取引履歴に対し、
強固な認証・アクセス制御・暗号化が適用される。
企業の研究開発部門では、新製品の設計情報や特許関連資料を
限定されたメンバーのみが閲覧可能とする。
政府機関では、国家安全保障に関わる文書を
厳格な物理的・論理的アクセス制御下で管理する。
試験対策上のポイント
機密性は「誰がアクセスできるか」に関する概念
ログ取得は主目的が機密性ではない
内部不正対策も機密性に含まれる
IPA試験・
CISSPともに、「技術」より「目的」を問う問題が多い点に注意する。
関連用語
最終更新:2025年12月22日 10:14
