🔐
【情報セキュリティの三要素】可用性・機密性・完全性(CIA)
情報セキュリティ教育や各IT資格の問題で出てくるであろう 「情報セキュリティの三要素」。
それがなんなのか・なぜ必要なのかがなんとなく分かるようにまとめます。
可用性(availability)
ユーザーが必要な時に利用できる状態を維持すること それが可用性です。
自分が使ってるクラウドサービスなどが、いつでもどこでもアクセスすれば安全に使える状態ですね。
この状態は「可用性が高い」と言えます。
ユーザーが必要な時に利用できない状態 となったとき、可用性は維持できなくなります。
対策例
- サーバーがダウンしてもシステムを運用できるよう、予備装置を備えておく
- あらかじめアクセス負荷を分散させておく
- 定期的なバックアップを取得し、いつでもリカバリできるようにする
機密性(confidentiality)
アクセスを許可したユーザーだけが情報を閲覧できる状態にすること それが機密性です。
自分宛の情報は、自分だけが使える状態ですね。
この状態は「機密性が高い」と言えます。
アクセスを許可してない人が情報を閲覧している状態 となったとき、機密性は維持できなくなります。
対策例
- データの転送時には暗号化をおこなう
- ロックをかけたスマートフォンなどでパスワードの管理をおこなう
- 閲覧対象を定めた上で、情報公開をおこなう
完全性(integrity)
保有する情報が正確に保護されている状態にすること それが完全性です。
持っている情報が何者にも改ざんされず、「確実に正しい」ことを担保している状態ですね。
この状態は「完全性が高い」と言えます。
保有している情報が正確でない状態 となったとき、完全性は維持できなくなります。
対策例
- デジタル署名を取得して情報をやりとりする
- 複数名でファイルの修正をおこなう場合は、バージョン管理して履歴を残す
- 定期的なバックアップをおこない、いつでも復元できるようにする
まとめ
また、今回紹介したのは三要素でしたが、深掘りすると他に4つの要素もあります。
- 真正性(Authenticity)
- 信頼性(Reliability)
- 責任追跡性(Accountability)
- 否認防止(non-repudiation)
これらの要素を維持するためには、日々リスク対策をおこない、
「担保されているか」を評価し、リスク対策をアップデートしていくことが必要です。
参考
ではまた🦍
Discussion