>
>
公開日
本記事はMoneyForward Admina編集部が執筆し、情報セキュリティ・ISMS運用の実務知見をもとに構成しています。
現代のビジネスにおいて、企業が保有するさまざまなシステムや電子データの保護は経営継続に直結する重要課題です。本記事は、セキュリティレベルの強化を迫られている中堅・中小企業の情報システム部門(情シス)担当者、およびISMS(情報セキュリティマネジメントシステム)の構築・運用を任されている実務責任者を対象に、情報セキュリティの根幹をなす「機密性・完全性・可用性(CIA)」を徹底解説します。基本概念だけでなく、実務で明日から使えるチェックリストや、2025〜2026年の最新法改正動向、先端技術トレンドも網羅しました。
情報セキュリティのCIAとは?機密性・完全性・可用性の3要素を解説
この記事でわかること
情報セキュリティの3要素(CIA)は、情報を安全かつ有効に管理し、サイバー脅威から組織を守るための世界共通の基本原則である。
機密性は「許可された人だけ」、完全性は「正確で改ざんがない」、可用性は「いつでも使える」状態を指す。
最新のデータ侵害による日本企業の平均総コストは5.5億円、漏えい報告件数は前年比57%増の19,056件に上り、3要素の維持は経営レベルで対処すべき課題となっている。
ISMS 2022年版への実践的な対応ステップがわかる。
企業や組織が保有する情報資産をあらゆる脅威から保護し、ビジネスで安全に活用する仕組みを「情報セキュリティ」と呼びます。その中核を担うのが、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」であり、それぞれの頭文字をとって「CIA(CIAトライアド)」と総称されます。
近年のデータによると、セキュリティ対策の遅れは企業の存続に致命的な打撃を与えかねません。日本IBMが発表した「2025年データ侵害のコストに関する調査レポート」では、日本国内におけるデータ侵害1件あたりの平均総コストは5億5,000万円(365万ドル)に達しています。さらに、個人情報保護委員会の「令和6年度個人情報保護委員会年次報告」によれば、法令上報告が義務付けられた個人データの漏えい等事案は前年度比57%増の19,056件を記録し、過去最多を更新しました。CIAの3要素を実務レベルに落とし込む手順を、本記事で整理します。
情報セキュリティ3要素(機密性・完全性・可用性)の比較表
3要素が目指す定義と、日常の業務で発生し得る喪失リスク、およびITシステムでとるべき主要なアプローチを整理しました。
要素(英語名) | 目指す状態(定義) | 日常的な具体例(喪失リスク) | ITシステムでの主な対策 |
|---|---|---|---|
機密性 | 見てよい人だけが見られる状態 | メールの誤送信、退職者アカウントの放置、紛失PCからのデータ漏洩 | 最小特権に基づくアクセス制御、多要素認証(MFA)、端末・データの暗号化、ゼロトラスト |
完全性 | 情報が正確で改ざんされていない状態 | Webサイトの改ざん、複数人同時編集による上書き・破損、入力ミス | 操作ログの取得、排他制御とバージョン管理、デジタル署名、CSPMによる設定監査 |
可用性 | 必要なときに遅延なく使える状態 | サーバーダウン、ランサムウェア感染による暗号化、自然災害によるシステム停止 | クラウドへの自動バックアップ、サーバーや回線の冗長化、BCP策定と復元テスト |
▲ 情報セキュリティの3要素(CIAトライアド)の概念と対策の構成図
機密性の意味と具体例・対策
機密性とは、正当な権限を持つ許可された人物だけが特定の情報にアクセスできる環境を維持することです。
第三者に知られてはならない極秘情報や個人情報が、権限のない者に閲覧・詐取されないための物理的・技術的な防壁となります。企業の競争力や顧客との信頼関係を守るための第一の関門といえます。
日常業務での具体例と喪失リスク
機密性が損なわれる典型的なインシデントとして、「メールの宛先間違いや添付ファイル間違いによる外部への誤送信」や「退職者のSaaSアカウントを放置したことによる内部データの持ち出し」が挙げられます。メールの誤送信は依然として最多の漏洩原因の一つ(IPAデータによる)であり、日常的なコミュニケーションツールが機密性喪失の主な温床となっています。
システム・データ管理における対策
機密性を維持するうえで、以下の3点が実務上の柱になります。
最小特権の原則(Least Privilege)とアクセス制御: 役職や所属部署に応じ、ファイルサーバーやクラウドツール(SaaS)の閲覧・編集権限を必要最小限の範囲に絞って設定する。
多要素認証(MFA)の全社義務化: 単なるパスワード管理にとどまらず、多要素認証(MFA)を必須とし、パスワードの使い回しや漏洩に伴う不正ログインを防ぐ。
端末およびデータの暗号化: PCのハードディスク(BitLocker等)やクラウドに保存されるデータを常時暗号化し、端末紛失時やデータ窃取時のリスクを最小限にする。
完全性の意味と具体例・対策
完全性とは、情報やシステムが改ざん、消去、または破損されることなく、常に正確で最新の状態に維持されていることです。
データの信頼性そのものを担保する要素です。ハッカーによる悪意のあるデータ改ざんの防御だけでなく、社内のシステム不具合や操作ミスといったヒューマンエラーによるデータ破損を防ぐことも含まれます。
日常業務での具体例と喪失リスク
完全性が損なわれると、「自社のWebサイトがサイバー攻撃により改ざんされ、不正なURLを埋め込まれて閲覧者にウイルスを感染させる」「共有のエクセルファイルを複数人が同時に編集した際、競合により誰かの最新データが古いデータで上書きされてしまう」などのトラブルが発生します。
データ保護とシステム運用における対策
完全性を高く維持するための具体的な手段は以下のとおりです。
徹底した操作ログの取得: 誰が、いつ、どのシステムやファイルに変更を加えたかを自動で記録し、データの不正な書き換えや人為的なミスを早期に検知・追跡する。
排他制御とバージョン管理の導入: 同時編集による競合を防ぐ仕組みを整備するとともに、誤ってデータが消去・上書きされた場合でも過去の正しい履歴(バージョン)から即座に復元できるようにする。
デジタル署名の活用: 外部の取引先とやり取りする電子契約書や重要ファイルに対し、タイムスタンプやデジタル署名を付与して「第三者による改ざんがされていないこと」を技術的に証明する。
クラウド構成情報の整合性管理(CSPMなど): SaaSやパブリッククラウドにおける設定不備による「外部公開設定」などを自動検知するCSPM(Cloud Security Posture Management)を活用し、システム設定情報の完全性を担保する。
可用性の意味と具体例・対策
可用性とは、認可された利用者が、必要なときに遅延なくシステムやデータにアクセスして利用できる状態です。
機密性・完全性が万全でも、システムが止まれば業務は止まります。可用性の維持は、24時間365日のシステム運用や災害対策、事業継続に直結します。
日常業務での具体例と喪失リスク
可用性を脅かす代表的な事故として、「サーバーのアクセス集中による自社ECサイトのダウン」や「ランサムウェア(身代金要求型ウイルス)感染による社内共有フォルダの暗号化」があります。特にランサムウェア攻撃によってシステムやデータが暗号化される(可用性の喪失)と、完全な復旧に数日〜数週間を要し、数千万〜数億円規模の営業損害やサプライチェーン全体の機能停止を招くケースが頻発しています。
データの可用性を高めるベストプラクティスとBCP
万が一のトラブル時にも業務を中断させないための実践的アプローチです。
クラウドバックアップの自動化(3-2-1ルールの適用): 物理的なオフィス内のローカルサーバーだけでなく、地理的に離れた信頼できるクラウド環境へ定期的にデータを自動バックアップする。3-2-1ルール(データのコピーを3つ作成、2種類の異なるメディアに保存、そのうち1つは遠隔地=クラウド等のオフサイトに保管する手法)の実践が基本です。
ネットワークとシステムの冗長化: サーバーや外部回線を複数系統に分散(二重化)して設計し、一箇所でハードウェア障害が発生しても自動で予備の環境へ瞬時に切り替えられる(フェイルオーバー)状態にしておく。
BCP(事業継続計画)の策定と定期的な復元テスト: 障害やサイバー攻撃、災害時の復旧手順をマニュアル化するだけでなく、実際にバックアップから本番環境へデータをリストア(復元)する「復元テスト」を半年に1回以上の頻度で実施し、想定通りに復旧できるかを実演評価しておく。
最新トレンドと法改正における機密性確保
2025年から2026年にかけて、国内では法改正や新規格対応が加速しており、機密性確保の法的な罰則と技術要件が同時に厳しくなっています。
これまでの「社内ネットワークを守る」といった境界型セキュリティから一歩進み、法的な罰則対応や最新テクノロジーの利活用を安全に行う「機密性の確保が競争力につながる」時代を迎えています。
① 個人情報保護法の「2026年改正」への備え
2026年4月に「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定・通常国会に提出され、同5月に衆議院を通過しました。本記事公開時点(2026年6月)では参議院での審議が継続中であり、成立・施行日・猶予期間の詳細については個人情報保護委員会の公式サイトで最新情報をご確認ください。この改正では、日本で初めて「行政課徴金制度」が新設される予定です。安全管理措置を怠った悪質な漏洩等に対して、違反行為によって得た利益相当額などを国庫に納付させる制度であり、企業の金銭的ペナルティが大幅に強化される見込みです。また、顔認証や声紋データなどを想定した「特定生体個人情報」に対する規律も新設され、高度な生体情報を扱う企業におけるアクセス権(機密性)の確保は法的な重要義務となります。
② 「重要経済安保情報保護活用法」の施行(2025年5月16日施行)
我が国の経済安全保障を強化するため、2025年5月に施行された新法(いわゆるセキュリティ・クリアランス制度)です。半導体やAI、基幹インフラ、先端材料などに関する「重要経済安保情報」を取り扱う民間企業のエンジニアや研究者に対し、国が背景調査などを行う「適性評価」が義務づけられます。万が一、対象となる情報を漏洩させた(機密性を損なった)場合、5年以下の拘禁刑、または500万円以下の罰金という重い刑事罰が課され、法人に対しても両罰規定が適用されるため、厳格な物理的・技術的なアクセス制御が必須となりました。
③ 実行中のデータを暗号化する「秘密計算」と「シャドーAI対策」
従来の機密性対策は、保存中および送信中のデータ暗号化が中心でした。しかし、サイバー攻撃が最も狙いやすいのは「システム上で計算・処理しているメモリ上の瞬間」です。この弱点を克服するため、データを暗号化したまま演算処理する秘密計算(Confidential Computing)が最新トレンドとして台頭しています。
さらに、社員が会社に内緒でChatGPTなどの外部生成AIにソースコードや顧客情報を入力してしまう「シャドーAI(無許可AI利用)」対策も急務です。単に利用を禁止するのではなく、APIなどを経由した安全なセキュア社内AI環境を構築し、送信データの自動マスキングやDLP(データ漏洩防止ツール)による保護を実施することが現実的な対応策です。
国内企業の最新導入事例
最新テクノロジーを導入して機密性確保とゼロトラスト対応、安全なデータ利活用に取り組んだ、日本企業の代表的な事例を3件紹介します。
企業名(業種・規模) | 導入時期 | 課題 → 施策 → 成果 |
|---|---|---|
大和証券株式会社 | 2023年〜 | 【課題】金融機関として極めて高い機密性と、どこからでも仕事ができる高い利便性の両立が困難であった。 |
住友商事株式会社 | 2019年〜2021年 | 【課題】グローバルに点在するコラボレーションインフラのセキュリティ基準が不統一で、情報漏洩や不正アクセスの監視が不十分だった。 |
株式会社Acompany | 2026年1月〜 | 【課題】現場における生成AIの業務利用(シャドーAI)による、社外秘データや機密ソースコードの意図しない外部漏洩を防ぐ必要があった。 |
ISMS(情報セキュリティマネジメントシステム)での位置づけ
ISMS認証の取得・運用において、機密性・完全性・可用性の3要素はリスクアセスメントの評価軸として組織的に機能する基盤です。
ISMS(ISO/IEC 27001)は、情報セキュリティを体系的に管理・運用するための国際規格です。ISMSにおいては、企業が保有するすべての情報資産を洗い出したうえで、機密性・完全性・可用性の3つの評価軸に基づいてリスクアセスメントを行い、優先的に対応すべき脅威に対して必要なセキュリティ管理策を決定します。
ISO/IEC 27001:2022への完全移行に伴う変更点
ISMSの国際規格は、2013年版から2022年版(JIS Q 27001:2023)への移行期限が2025年10月31日をもって終了しました。これにより、現在ISMSを維持している、あるいは新規取得するすべての企業は、2022年版での審査が必須となっています(旧2013年版での認証維持は不可)。
2022年版の新規格では、近年激甚化するクラウドやサイバー攻撃に対応するため、特に3要素の確保を意図した以下のような新しい管理策が追加・重視されています。
脅威インテリジェンス(A.5.7): 最新の外部脅威や脆弱性の情報を収集・分析し、機密性と可用性を先んじて保護する。
クラウドサービス利用における情報セキュリティ(A.5.23): SaaS等の設定不備や契約上の安全措置を確認し、データの改ざん(完全性)や漏洩(機密性)を防ぐ。
構成管理(A.8.9): 自社のシステム機器やソフトウェアの設定・状態の整合性を管理し、意図しない改変(完全性)を防止する。
ISMSを実際に機能させるには、警察庁の統計やIPAが毎年発表する『情報セキュリティ10大脅威』などの最新情報を踏まえ、新規格の管理策と自社の3要素の評価軸を連動させてPDCAを回し続けることが前提となります。
▲ ISMS(ISO 27001)における3要素に基づいたリスクアセスメントの3ステップ
情報セキュリティの新たな4要素とは
クラウドやテレワークの普及に対応するため、JIS Q 27000では従来の3要素に「真正性」「信頼性」「責任追跡性」「否認防止」を加えた新たな要素を定義しています。
企業が境界型ネットワークから脱却し、スマートフォン・SaaS・クラウドなど外部サービスを広く利用する現代社会では、CIAの3要素を守るだけでは不十分なケースが増加しています。そこで、JIS Q 27000で定義されている、情報セキュリティを高めるための「新たな4要素(計7要素)」を把握しておく価値があります。
真正性(Authenticity): システムにアクセスしている人物、あるいはデータそのものが、なりすましや偽造ではなく「本物」であることを技術的に担保する(例: 指紋や顔認証などの多要素認証、FIDO認証の導入)。
信頼性(Reliability): システムの処理やデータ更新が、バグや想定外のエラーを起こさず、常に意図した通りに正確に実行されること(例: 強固なインフラ設計、徹底したソフトウェアテスト)。
責任追跡性(Accountability): いつ、誰が、システム上でどのような操作を行ったかを一意に記録し、事後に確実に追跡できるようにすること(例: 操作履歴ログの暗号化保管、SIEMによるログ監視)。
否認防止(Non-repudiation): 特定の操作や取引が行われた事実について、後から「私はそんな操作をしていない」「データを受け取っていない」と言い逃れ(否認)できない仕組みを保証すること(例: 電子署名とタイムスタンプの付与、トランザクションの電子証明書の記録)。
これら4要素をCIAと併せて意識することで、高度化する不正アクセスから身を守るだけでなく、対外的な取引において高い法的信頼性を担保できます。
3要素を守るためのよくある失敗と対策チェックリスト
中小企業や急成長中のスタートアップの現場で特に起きやすい、情報セキュリティ3要素維持における「2大失敗パターン」を紹介します。
🚨 企業のよくある失敗・誤解パターン
失敗1. 可用性を無視したガチガチの機密性強化(シャドーITの誘発)
機密性を高めようとするあまり、「文字数20桁以上で月1回変更が必要な複雑なパスワード」や「社外共有は役員2名の承認が必要」といった、現場の業務効率を著しく阻害する運用を強制してしまうケースです。その不便さに耐えかねた従業員は、会社の許可を得ない「個人用クラウドストレージ」や「私物のUSBメモリ」にこっそりデータを退避して業務を進めるようになります。結果として、企業の管理外であるシャドーITが横行し、そこから重大な情報漏洩が引き起こされ、最優先するはずだった機密性が根本から崩壊するという本末転倒な事態が生じます。
失敗2. VPN境界防御への過信(サプライチェーンからの侵入)
「社内ネットワーク(VPN内)は安全だから」という前提に基づき、外部からの侵入を防ぐことだけに注力するアプローチです。しかし、VPN装置の脆弱性を突かれたり、取引先企業の乗っ取られたアカウントを踏み台にされて一度侵入されると、社内ネットワーク内の重要データへパスワードなしで容易に不正アクセスされ、ランサムウェアに感染してすべてのデータ(完全性・可用性)が暗号化・破壊されます。これからの時代は、「社内であっても誰も信用せず、常に検証する」というゼロトラストの思想に基づく、段階的なID・デバイスレベルのアクセス制限への転換が必要です。
📝 情シス・セキュリティ実務対策チェックリスト
自社のセキュリティ3要素をバランスよく維持するために、今すぐ自社の状況を点検してみましょう。
対象要素 | 実務点検用チェック項目 | 判断の目安と対応方針 |
|---|---|---|
機密性 | 退職者や異動したメンバーのアカウント権限は、即座に削除・無効化されているか? | 放置されている場合は、毎月末にSaaS管理ツールやアカウント台帳を使い、手動または自動でアカウントの一括棚卸しを実施する。 |
機密性 | 業務で使用するPC端末のドライブ暗号化が施されているか? | 未適用の端末がある場合、OS標準の暗号化機能(WindowsはBitLocker、MacはFileVault)をMDM経由で全社必須化する。 |
機密性 | メールの宛先間違いや添付ファイル誤送付を防ぐツールは導入されているか? | ヒューマンエラーによる漏洩を防ぐため、宛先ドメイン自動チェックやAIによる誤送信防止・送信一時保留システムを導入する。 |
機密性 | 社員による社外生成AI(個人用ChatGPT等)への機密データ入力を管理できているか? | 会社の許可なく個人用AIを使わせないようルールを定め、API経由でデータ学習がされない安全な社内用AI環境(セキュアチャット等)を構築する。 |
完全性 | 重要ファイルの編集履歴やシステムログが、必要な期間保管されているか? | 保管期間が短い、あるいは未取得の場合は、ログ管理システムを導入し、業界基準や法令に沿って最低3〜5年間のログ証跡を確保する。 |
完全性 | クラウドサービスの設定ミス(データの一般公開など)を監視する仕組みはあるか? | CSPM(クラウドセキュリティ設定管理)等を導入し、設定不備による予期せぬ改ざんや誤公開のリスクを自動で常時監査・検知する。 |
可用性 | クラウドとローカル(オフサイト)の双方に自動バックアップが取れているか? | 手動でのバックアップ運用を廃止し、専用ソフトやクラウドの自動実行スケジュールを組んで「3-2-1ルール」を徹底する。 |
可用性 | 有事を想定し、バックアップからの実際のデータ「復元テスト」を実施しているか? | 半年に1回は、実際のテスト環境に対してバックアップデータのリストアを実施し、復旧手順の確認と所要時間の検証を行う。 |
よくある質問
Q:完全性と可用性の違いは何ですか?
A:完全性は情報が「正確であり、改ざんや欠損がない状態」を維持することを指し、可用性は「必要なときにいつでもスムーズに利用できる状態」を維持することを指します。前者はデータの正しさを守るアプローチであり、後者はアクセス経路や稼働システムを維持するアプローチという違いがあります。
Q:機密性、完全性、可用性の3要素に優先順位はありますか?
A:一律の優先順位はなく、取り扱うデータや業務の特性によって異なります。例えば、個人情報や極秘技術を扱うデータベースでは「機密性」が最優先されますが、インフラ・医療システムや24時間稼働のECサイトでは、稼働を止めない「可用性」を基準に設計するケースが多いです。
Q:情報セキュリティの7要素(新4要素)とは何ですか?
A:従来の機密性・完全性・可用性の3要素に、「真正性」「信頼性」「責任追跡性」「否認防止」の4要素を加えた概念です。テレワークの普及やマルチクラウド化に伴い、アクセス元の信頼度や証跡の正確性が重要視されるようになったことから、JIS規格でも定義されました。
Q:ISMSの認証取得・新規格(2022年版)への対応は何から始めればよいですか?
A:情報資産の棚卸しと3要素をベースとしたリスクアセスメントが出発点です。2022年版の新管理策(脅威インテリジェンス・構成管理など)はその後、優先度に応じて自社体制に順次組み込む流れが現実的です。
Q:小規模なスタートアップ企業でもISMSは必要ですか?
A:認証を必ず取得しなければならないわけではありません。ただし近年は、取引条件として「ISMS取得と同等のセキュリティレベル」が求められる場面が増えています。認証取得が難しい場合でも、チェックリストを用いたアカウント管理やバックアップ整備など、3要素に基づくセキュリティ基本設計は必須です。
▲ 取り扱うデータやシステムに応じた「CIA」の最優先要素決定フロー
まとめ
情報セキュリティの根底を支える「機密性」「完全性」「可用性(CIA)」は、単にシステムを強固にするだけでなく、現場で働くメンバーの利便性を損なわないバランスのとれた実務設計が問われます。法改正による罰則強化や秘密計算といった新技術の登場など、セキュリティを取り巻く2025〜2026年の変化は大きいですが、大規模なツール導入より先に、まず足元の棚卸しから手をつけるほうが効く場面が多いです。
情シスチームで今すぐ着手できるアクションを時間軸で整理します。
✅ 【今週中】退職者・異動者のSaaSアカウントを棚卸しし、不要なアカウントを削除・無効化する
✅ 【今月中】PC端末の暗号化(BitLocker/FileVault)の適用状況を確認し、未適用端末をリストアップする
✅ 【今月中】バックアップの自動化設定と保存先(オフサイト含む)を確認し、3-2-1ルールの充足を検証する
✅ 【今四半期中】バックアップからの復元テストを1回実施し、復旧手順と所要時間を記録する
✅ 【今四半期中】ISMS 2022年版の新管理策(脅威インテリジェンス・構成管理)の自社対応状況を確認し、ギャップを洗い出す
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
