🔐

【情報セキュリティの三要素】可用性・機密性・完全性(CIA)

2025/01/28に公開

情報セキュリティ教育や各IT資格の問題で出てくるであろう 「情報セキュリティの三要素」
それがなんなのか・なぜ必要なのかがなんとなく分かるようにまとめます。

可用性(availability)

ユーザーが必要な時に利用できる状態を維持すること それが可用性です。

自分が使ってるクラウドサービスなどが、いつでもどこでもアクセスすれば安全に使える状態ですね。
この状態は「可用性が高い」と言えます。

ユーザーが必要な時に利用できない状態 となったとき、可用性は維持できなくなります。

対策例

  • サーバーがダウンしてもシステムを運用できるよう、予備装置を備えておく
  • あらかじめアクセス負荷を分散させておく
  • 定期的なバックアップを取得し、いつでもリカバリできるようにする

機密性(confidentiality)

アクセスを許可したユーザーだけが情報を閲覧できる状態にすること それが機密性です。

自分宛の情報は、自分だけが使える状態ですね。
この状態は「機密性が高い」と言えます。

アクセスを許可してない人が情報を閲覧している状態 となったとき、機密性は維持できなくなります。

対策例

  • データの転送時には暗号化をおこなう
  • ロックをかけたスマートフォンなどでパスワードの管理をおこなう
  • 閲覧対象を定めた上で、情報公開をおこなう

完全性(integrity)

保有する情報が正確に保護されている状態にすること それが完全性です。

持っている情報が何者にも改ざんされず、「確実に正しい」ことを担保している状態ですね。
この状態は「完全性が高い」と言えます。

保有している情報が正確でない状態 となったとき、完全性は維持できなくなります。

対策例

  • デジタル署名を取得して情報をやりとりする
  • 複数名でファイルの修正をおこなう場合は、バージョン管理して履歴を残す
  • 定期的なバックアップをおこない、いつでも復元できるようにする

まとめ

また、今回紹介したのは三要素でしたが、深掘りすると他に4つの要素もあります。

  • 真正性(Authenticity)
  • 信頼性(Reliability)
  • 責任追跡性(Accountability)
  • 否認防止(non-repudiation)

これらの要素を維持するためには、日々リスク対策をおこない、
「担保されているか」を評価し、リスク対策をアップデートしていくことが必要です。

参考

https://www.jnsa.org/ikusei/01/02-01.html

https://follow-up.metro.tokyo.lg.jp/glossary/yogokaisetu5/

https://www.lanscope.jp/blogs/it_asset_management_emcloud_blog/20240327_20406/

ではまた🦍

コラボスタイル Developers

Discussion