🔒

【セキュリティ】情報セキュリティの基本原則:CIAとDAD

に公開
Security
idea

§1.はじめに

セキュリティに興味が湧いたので勉強したことを記事にしてアウトプット兼備忘録として残しておこうと思います。
TryHackMeで勉強してるので大体同じ内容があっちに書いてあります。英語ですけど。
いつか何かしらの試験を受けるときに役に立ったらいいなあ。

§2.情報セキュリティ原則って?

セキュリティには「情報セキュリティ」と「サイバーセキュリティ」に分かれています。
「情報セキュリティ」は情報資産を守ることです。
情報資産とは顧客データとか金融取引データとか漏洩したら大変なことになるものです。
それを守るために満たさなければいけないのが「情報セキュリティ原則」です。

歴史の中で情報セキュリティ原則は進化していっています。
どんなものがあるか早速見ていきましょう。

§3.情報セキュリティ原則

① CIAトライアド

情報セキュリティの3原則・3要素とか別名があります。
情報資産を守るためにこの状態を保とうね!というお約束ですね。

原則 英名 意味
機密性 Confidentiality 許可された人物や受信者のみがデータにアクセスできること
完全性
(整合性)		 Integrity 情報が正確で不正に改竄・破壊されていないこと
改竄・破壊されてもそれを検出できること
可用性 Availability 許可された人が必要な時にシステム/サービスにアクセスし利用可能であること

これらの頭文字を取って「CIAトライアド」です。
普通のお仕事でも大事なことですので深く知るつもりが無くともぜひ覚えておきたいですね。

  • 通販サイトにCIAトライアドを当てはめると?

原則がどのような役割を持つか具体例を見てみましょう!

原則 目的
機密性 クレジットカードや登録者情報など、外部に見られたらいけないものを守る
完全性 商品注文後の配送先を不正に変更されることから守る
可用性 いつでもアクセスでき、買い物ができるようにする

② パーカーの6原則(Parkerian Hexad)

1998年にDonn Parkerさんが提唱した6原則です。
こちらも6原則だったり6要素だったり呼び名が安定しません。ここでは原則にしておきます。
ちなみにDonn Parkerさんは情報セキュリティ研究者だそうです。興味があったら調べてみてください。
ParkerさんはCIAトライアドを補完するために以下を付け足しました。

原則 英名 意味
機密性 Confidentiality 許可された人物や受信者のみがデータにアクセスできること
完全性 Integrity 情報が正確で不正に改竄・破壊されていないこと
改竄・破壊されてもそれを検出できること
可用性 Availability 許可された人が必要な時にシステム/サービスにアクセスし利用可能であること
真正性 Authenticity 情報に不正・偽造がないことや信頼できる出所であること、
ユーザやシステムが本物であることを証明できること
有用性 Utility 情報が利用可能であるだけでなく使用可能であること
所有 Possession 情報そのものや情報のアクセス権を失わないこと

真正性、有用、所有が増えました。
ParkerさんはCIAトライアドでは情報の発信元が偽物だった場合(真正性)、
情報を所持・アクセスできても使えない状態(データ破損、複合鍵紛失など)だった場合(有用性)、
情報を閲覧されないようにしたとしてもドライブそのものを盗まれた場合(所有権)、
がカバーできてないんじゃない?と思ってそれらを補うために提唱したようです。

③ 情報セキュリティの7原則

現代ではCIAトライアドに4つ加えた、7原則もあるようです。

原則 英名 意味
機密性 Confidentiality 許可された人物や受信者のみがデータにアクセスできること
完全性 Integrity 情報が正確で不正に改竄・破壊されていないこと
改竄・破壊されてもそれを検出できること
可用性 Availability 許可された人が必要な時にシステム/サービスにアクセスし利用可能であること
真正性 Authenticity 情報に不正・偽造がないことや信頼できる出所であること、
ユーザやシステムが本物であることを証明できること
責任追跡性 Accountability 誰が、いつ、何を、どのように行ったかを追跡できること
否認防止性 Non-Repudiation 情報の送受信や行為を行った事実を、後から否定できないようにすること
信頼性 Reliability システムが期待通りに動作し、継続的に利用できること

真正性まではParkerian Hexadと同じですが、新たに責任追跡性、否認防止性、信頼性が追加されています。
Parkerian Hexadでは情報資産を守ることに重きを置き、情報セキュリティの7原則ではシステムの安定稼働や法令遵守など組織的な情報管理と信頼性の確保に重きを置いています。

Parkerian HexadはCIAトライアドから派生した原則ですが、
情報セキュリティの7原則はParkerian Hexadから派生した原則ではなくCIAトライアドから派生しています。
どちらも大事なので両方頭に入れておきましょう!

§4.「情報セキュリティ原則」を脅かす要素

⚠️ DADトライアド

情報セキュリティ原則のCIAトライアドには対となる要素が存在します。
CIAトライアドが守るための目標ならば、こちらは脅威や攻撃者の目標ということになるのでしょうか?

原則 英名 意味 CIA
漏洩 Disclosure 許可された人物や受信者以外に情報が公開されること 機密性
改竄 Alteration 情報が不正に改竄・破壊されていること 完全性
破壊/否認 Destruction/Denial 必要な時にシステム/サービスが利用できなくなること 可用性

これらの頭文字を取って「DADトライアド」です。
単に「DAD」と呼ばれる方が多いらしいですが、一応呼び方としては合っているはずです。
統一しないのも気になるのでこの記事ではDADトライアドと呼びます。

  • 通販サイトにDADトライアドを当てはめると?

CIAトライアドの項でやったことをこちらでもやってみましょう。

脅威 リスク
漏洩 カード番号や個人情報が流出
改竄 商品注文後に配送先を書き換えられ、お金だけ払って商品が来ねえ!と問題に
破壊/否認 データベースが暗号化された結果、業務が停止してしまいサービスが使用不可。
ユーザが別のサービスを使用してしまう

怖いですね。サービスを運営する場合、絶対頭に入れておきたい原則です。

§5.おわりに(まとめ)

今回はCIA(とその派生形)とDADについて学習しました。

  • CIA(機密性・完全性・可用性)は、守るべき情報システムの目標です。
  • DAD(漏洩・改竄・破壊/否認)は、目標を脅かす攻撃者の意図(脅威)です。

CIAとDADの関係、CIAの派生で増えた原則の早見表を記載しておきます

  • CIAとDADの対応表

原則 英名 目標 脅威 英名
機密性 Confidentiality 許可された者のみが閲覧できる 漏洩 Disclosure
完全性
(整合性)		 Integrity データが正確で改ざんされていない 改竄 Alteration
可用性 Availability 必要なときに利用できる 破壊/否認 Destruction/Denial

  • CIAトライアド

原則 英名 意味
機密性 Confidentiality 許可された者のみが情報にアクセスできる
完全性
(整合性)		 Integrity データが正確で改ざんされていない
可用性 Availability 必要なときに利用できる

  • パーカーの6原則(追加分)

原則 英名 意味
真正性 Authenticity 情報の出所や利用者が正当なものである
有用性 Utility 情報やシステムが意図した目的に使用できる
所有 Possession 情報やシステムを実際に保持・管理できている

  • 情報セキュリティの7原則(追加分)

原則 英名 意味
真正性 Authenticity 情報の出所や利用者が正当なものである
責任追跡性 Accountability 行為を誰が行ったかを追跡できること
否認防止性 Non-Repudiation 行為(送信や操作)の実施を後から否定できないこと
信頼性 Reliability システムが期待通りに動作し、継続的に利用できること

  • CIAトライアド、パーカーの6原則、情報セキュリティの7原則の関係

Discussion