• はじめに
• 「情報の分類」とは？
• 具体的な実施例
  • リスクとの関連性
  • 分類基準の例
  • 個別方針への記載内容例
• その他
  • 分類の名称
  • 情報の分類の一貫性
  • まとめ
• 参考資料
• 脚注

はじめに

　情報セキュリティのための管理策の中で組織的対策として分類されている「情報の分類」について、主要なガイドラインを参考に自分なりに解釈した内容をなるべく具体的に残しておきます。

「情報の分類」とは？

　先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。

ISO/IEC 27002:2022 5.12 Classification of information から引用

Purpose：
To ensure identification and understanding of protection needs of information in accordance with its importance to the organization.
管理目的：
組織にとっての重要性に応じて、情報の保護ニーズを特定し、理解するため。

Control：
Information should be classified according to the information security needs of the organization based on confidentiality, integrity, availability and relevant interested party requirements.
管理策：
情報は、機密性、完全性、可用性及び関連する利害関係者の要求事項に基づく組織の情報セキュリティニーズに従い分類されることが望ましい。

※）英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

　管理目的と管理策をひとつの文にまとめると以下のようになります。
　情報は、その個々の保護ニーズ（機密性、完全性、可用性及び関連する利害関係者の要求事項に基づく重要性）を理解するために分類する。
　情報の分類 ＝ 情報（及び関連資産）への保護ニーズの割り当て
　と解釈してよさそうです。

　情報を保護するために実施する各管理策は、過不足なくその保護すべき度合に応じた妥当なものとするべきです*1。そのためには、対象となる情報の適切な分類、さらにそれを実現するための正確な保護ニーズの理解が必要となります。一般的に情報の分類は、機密性、完全性、可用性及び関連する利害関係者の要求事項を反映した組織内の方針に基づき実施されます。

具体的な実施例

リスクとの関連性

　前項では、情報の分類がその保護ニーズに基づくことを理解できました。他のガイドラインを確認し、保護ニーズについてもう少し具体的に考えてみたいと思います。
　情報と情報システムのセキュリティ分類のマッピングガイドであるNIST SP800-60に以下のような記述があります。

NIST SP 800-60 Rev.1 から引用

FIPS 199 establishes security categories for both information and information systems.
The security categories are based on the potential impact on an organization should certain events occur.
The potential impacts could jeopardize the information and information systems needed by the organization to accomplish its assigned mission, protect its assets, fulfill its legal responsibilities, maintain its day-to-day functions, and protect individuals.
Security categories are to be used in conjunction with vulnerability and threat information in assessing the risk to an organization.
FIPS 199 establishes three potential levels of impact (low, moderate, and high) relevant to securing Federal information and information systems for each of three stated security objectives (confidentiality, integrity, and availability).

FIPS 199は、情報と情報システムの両方について、セキュリティの分類を定めています。
セキュリティの分類は、ある事象が発生した場合に組織に与える潜在的な影響に基づきます。
潜在的な影響は、組織が与えられたミッションを達成し、その資産を保護し、法的責任を果たし、日常的な機能を維持し、個人を保護するために必要な情報と情報システムを危険にさらす可能性を示します。
セキュリティの分類は、組織に対するリスクを評価する際に、脆弱性および脅威の情報と合わせて使用されます。
FIPS 199は、3つのセキュリティ目標（機密性、完全性、可用性）毎に、連邦情報および情報システムの保護に関連する3つの潜在的影響レベル（低、中、高）を定めています。

※）英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

上記を要約します。

• セキュリティ分類は、セキュリティ事象発生時に組織に与える潜在的な影響に基づく
• 潜在的な影響は、「組織の事業上の目的達成」、「法的責任」、「日常的な機能維持」、「個人の保護」が損なわれる可能性を示す
• セキュリティ分類を割り当てる対象は情報と情報システム*2
• セキュリティ分類は、リスクアセスメント時に脆弱性および脅威の情報と合わせ使用される

　上記の考え方をJIS Q 27000:2019（ISO/IEC27000:2018）で定義されているリスクレベル*3と関連付けてみます。

分類基準の例

具体的にどのような分類基準が用いられているかは、以下の文献により確認することができます。

• 政府機関等のサイバーセキュリティ対策のための統一基準
  　「1.2 情報の格付の区分・取扱制限」では、機密性：３区分、完全性：２区分、可用性：２区分が定義されています。

• FIPS PUB 199 Standards for Security Categorization of Federal Information and Information Systems
  　”Table 1 summarizes the potential impact definitions for each security objective—confidentiality, integrity, and availability. ” では、機密性、完全性、可用性がそれぞれ３区分に定義されています。

• TRAFFIC LIGHT PROTOCOL (TLP) FIRST Standards Definitions and Usage Guidance
  　FIRST*4からは、組織間で情報を共有する際に、情報の機密性を確保するためのラベリングの基準が示されています。
  　”TLP:RED”、”TLP:AMBER”、”TLP:GREEN”、”TLP:CLEAR”の４区分により、組織間において開示範囲に対する共通認識を持てるような仕組みになっています。

　※）各区分の定義については、引用元を参照ください

個別方針への記載内容例

　前述したとおり、情報の分類は、組織の方針に従い実施されることが一般的です。情報分類のための個別方針を策定する際は、以下の事項を考慮することにより有効性が高くなることが期待できます。

• 分類の根拠（「組織の事業上の目的達成」、「法的責任」、「日常的な機能維持」、「個人の保護」）
• 情報システムなどの関連資産への適用範囲
• 情報システムのセキュリティ関連ドキュメントへの反映（情報分類の結果とその根拠の明確化）
• リスク（リスクレベル）との関連性
• レビューの基準（権限・責任、実施時期、内容など）
• 情報の分類を実施する権限と責任
• 情報のライフサイクルに応じた情報の分類の見直し基準
• 情報の分類の活用方法と関連する管理策（5.13 情報のラベル付け、5.15 アクセス制御　など）

その他

分類の名称

　組織の方針にもよりますが、分類の名称には意味を持たせた方が利用者の取り扱いに間違いが生じにくいとされていることがあります。例えば、部外秘などの名称は、その取扱いのイメージがつかみやすと思います。

• 　意味を持つ名称例：極秘、秘密、部外秘、社外秘　など
• 　意味を持たない名称例：機密度１、機密度２、機密度３　など

　名称に意味を持たせている具体例として、米国の大統領令第１３５２６号（The President Executive Order 13526）を挙げることができます。情報の機密性に応じ、‘Top Secret’、‘Secret’、‘Confidential’に分類することが定められています。

情報の分類の一貫性

　この管理策は、情報の分類に対し組織全体で共通の理解を持つことが目的であるため、明確な基準を作成し、前項で触れた個別方針や他の関連する管理策（5.13 情報のラベル付け、5.15 アクセス制御　など） と合わせ、組織の要員に周知することが重要です。
　また、顧客や供給者などの外部の利害関係者と情報の受け渡しをする際には、「秘密」と「秘」などの似通った分類の名称や全く同じ名称であっても、各組織により定義が異なる可能性を考慮し、求める取り扱い手順や保護のレベルにまで踏み込んで整合しておくことが必要になります。

まとめ

　今回は「情報の分類」について考えてみました。対象の情報および関連資産に割り当てられた分類は、リスクアセスメントやリスク対応の際の重要な指標となりますので、潜在的な影響の度合いなど分類を決定した根拠を明らかにしておくことが重要です。

参考資料

　本稿は、以下のガイドラインを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。

• ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

• NIST SP 800-60 Rev.1 : Guide for Mapping Types of Information and Information Systems to Security Categories

• FIPS PUB 199 Standards for Security Categorization of Federal Information and Information Systems

• NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations RA-2

• The President Executive Order 13526（米国大統領令13526号）

脚注