情報セキュリティの「CIA」とは?3要素を踏まえたセキュリティ対策を解説
DXの推進によって、社内の機密情報をデータで運用する企業が増加しています。そのため、マルウェア・ランサムウェアといったサイバー攻撃や、ヒューマンエラーによる情報漏洩など、さまざまなインシデントから自社の情報資産を守るためのセキュリティ対策が必須です。
ただし、効果的な対策を実施するには情報セキュリティの基礎的な概念を理解し、重要な要素を押さえる必要があります。
そこで本記事では、情報セキュリティにおける重要な3要素「CIA」について解説します。
CIAにおける3つの要素の概要や4つの拡張定義はもちろん、CIAを踏まえた効果的なセキュリティ対策例もご紹介するので、セキュリティ対策に携わるエンジニアの方は、ぜひ参考にしてください。
この記事の目次
情報セキュリティの3要素「CIA」とは
CIAとは、情報セキュリティにおいて重視される3要素の略称であり、以下の3つの英単語の頭文字から構成されています。
- Confidentiality:機密性
- Integrity:完全性
- Availability:可用性
CIAは、ISO(国際標準化機構)とIEC(国際電気標準会議)の2つの団体が、情報セキュリティを保つうえで、欠かせない要素として国際基準に認定しています。
Confidentiality:機密性
機密性(Confidentiality)とは、情報資産へのアクセスを適切にコントロールできている状態を指します。つまり、機密性が高い状態とは、正当な権限を得た限られた人のみ、情報にアクセスできるまたは、該当するシステムを利用できる状態が保たれていることです。
第三者がアクセスできない状態であれば、その分、情報漏洩やデータ破損などの被害が発生するリスクが減少します。
また、機密性を保つにはユーザーだけでなく、情報資産へのアクセスに使用するデバイスの管理、権限設定はもちろん、物理的な施錠なども重要です。
Integrity:完全性
完全性(Integrity)とは、セキュリティ保護された情報が正確な状態を保っていることです。つまり、完全性が保たれている状態を実現するには、データの改ざんや破壊がされておらず、必要な情報が過不足なく存在することを証明する必要があります。
すでに情報が書き換えられている、または人為的なミスによって誤っている場合、いくら機密性を高く保っていても、データの利用価値自体が失われます。
情報の信頼性が損なわれた結果、企業として信頼を失うケースも珍しくないため、セキュリティ対策の前提として完全性の維持は必須です。
Availability:可用性
可用性(Availability)とは、対象となる情報を必要なタイミングでいつでも使用できる状態が維持されていることを指します。つまり、可用性が高いシステムには、必要なタイミングで情報にアクセスでき、目的を達成するまで中断されない安定感が必要です。
また、システムになんらかのトラブルが発生した場合でも、迅速に復旧できるまたは、別のアプローチで必要な情報を取得できる状態が保てていないと、可用性が高いとはいえません。
いくら、機密性や完全性が維持できていても、必要なときに情報を取り出せないシステムであれば、業務上の有用性は低いといえるでしょう。
【CIAの追加要素】情報セキュリティの7要素とは
近年、情報セキュリティにおける3要素「CIA」に加えて、以下の4つの拡張定義が重視されています。
- Authenticity:真正性
- Reliability:信頼性
- Accountability:責任追跡性
- non-repudiation:否認防止
上記の4つの要素は、CIAと合わせて維持することで、企業のセキュリティポリシー策定を進める際の土台となります。4つの要素の詳細を解説するので、情報セキュリティへの理解を深めるためにご確認ください。
Authenticity:真正性
真正性(Authenticity)とは、データにアクセスする人間または、データの作成者が正しい権限を持つ人物・組織かを担保できている状態を指します。つまり、真正性が確保されている状態とは、データの作成者が適切な権限を持っており、誰が作成したのかが明確に伝わるようなシステムになっていることです。
機密性に近い要素ではありますが、真正性は第三者による「なりすまし」を防ぐ意味合いが強いため、データへアクセスするための認証方法を強化したり、デジタル署名によって作成者が明確に伝わる状態を維持したりといった対策が必要です。
Reliability:信頼性
信頼性(Reliability)とは、使用するデータやシステムが意図した通りに動作する状態を指します。つまり、信頼性が高いシステムとは、不具合や人為的なミスなどにより、システムの動作不良やデータの改さんが発生しないように設計・構築されたシステムです。
システムの信頼性を保つための具体的な対策としては、開発時の設計書レビューやテストの徹底や、誤用の予防、または万が一、不具合が発生した際にも被害を最小限に抑えることを目的とした運用設計などが該当します。
Accountability:責任追跡性
責任追跡性(Accountability)とは、システムにトラブルが発生した際、原因を迅速に調査できる状態を指します。つまり「責任追跡性が確保できている」とは「いつ」「誰が」「どのデータに対して」「どのような」変更を実行したのかが明確になっている状態です。
責任追跡性を確保するためには、システムやデータベースなどのアクセス・操作ログやログイン履歴を残しておくなど、インシデント発生時の責任の所在や要因を判別するための対策が求められます。
non-repudiation:否認防止
否認防止(non-repudiation)とは、セキュリティインシデント発生時、原因を作った人が否認や証拠隠滅をできない状態を指します。つまり「否認防止ができている」とは、インシデント発生原因となった人を問い詰めた際、否認できないように証拠がしっかりと残っている状態です。
否認防止の具体的な対策としては、アクセス・操作ログやデジタル署名の保存などが挙げられます。
CIAを踏まえたセキュリティ対策
企業の情報資産を守るためには、CIAの概念を十分理解したうえで、効果的なセキュリティ対策を実施しなければなりません。
なお、情報セキュリティの3要素「CIA」を強化するために、多くの企業が実施している具体的な対策として、以下のようなものが挙げられます。
| 情報セキュリティの3要素 | 具体的な対策 |
| C:機密性 | ・パスワードの強化
・データへのシステム権限 ・ペネトレーションテストの実施 ・アクセスできる端末の限定 ・デバイスの保管場所の物理的な施錠 など |
| I:完全性 | ・バックアップの保存
・変更、アクセスログの保存 ・電子証明書の付与 ・Web改ざん検知の実行 など |
| A:可用性 | ・クラウドストレージサービスの利用
・UPS(無停電電源装置)の導入 ・システムの多重化 など |
まとめ
社内の情報セキュリティを強化するうえで、重視される3つの要素が「CIA」です。
具体的には「C=Confidentiality(機密性)」「I=Integrity(完全性)」「A=Availability(可用性)」の3つの要素を表しており、自社の情報資産を守るうえで、それぞれを踏まえた効果的な対策が求められます。
さらに、4つの追加定義が加わった7要素を意識することで、より安全性の高いセキュリティ対策を実現できます。
企業のセキュリティ対策に携わるエンジニアにとって、必須科目といえる基本概念となるため、十分理解を深めたうえで、効果の高いセキュリティ対策を検討しましょう。
関連記事
