Q. セキュリティのCIAって何者? A. 特定の組織ではなく、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)という情報セキュリティの三大要素を表わした頭字語です。 |
情報セキュリティのCIAとは?
情報セキュリティの目的は、企業が持つ情報を安全に利用できるよう対策を実施し、その環境を維持することである。そのために、情報セキュリティの脅威を分析し、有効な対策を講じるポイントとして示されたのが、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)である。それぞれの頭文字をとって情報セキュリティの「CIA」と呼び、情報セキュリティの普及とともに広く知られるようになった。
この情報セキュリティに対する考え方は1992 年にOECD(経済協力開発機構)が制定し、2002年に改正された「情報システム及びネットワークのセキュリティのためのガイドライン」に示されたものだ。
その基本的な考え方は現在に引き継がれ、国際標準を取り込んだJIS Q 27001(=ISO/IEC 27001)において次のように定義されている。
- 情報セキュリティ(information security)
- 情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を含むことができる
- 機密性 (confidentiality)
- 許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性
- 完全性(integrity)
- 資産の正確さおよび完全さを保護する特性
- 可用性 (availability)
- 許可されたエンティティが要求した時に、アクセスおよび使用が可能である特性
標準規格の定義は抽象的な表現が多く正確を期すためにわかりにくくなっているところもある。情報セキュリティの定義はそのままでもよいと思うが、そこに示されている機密性、完全性、可用性といった用語については何を意味しているのか理解する必要がある。イメージをふくらませやすいように、次のような簡単な言葉に置き換えておこう。なお、正確な定義については必要に応じて標準規格で確認してほしい。
- エンティティ
- 情報を利用する人、サーバなどの機器、アプリケーションソフトウェア
- 機密性
- 情報がもれないこと
- 完全性
- 情報を保存した時点のまま維持されること
- 可用性
- 情報を利用したい時に利用できること
- 真正性
- 情報およびそのユーザーが本物と確認できること
- 責任追跡性
- 問題が発生した時のその動作が開始された元まで追跡できること
- 否認防止
- あとから否定(ごまかし)ができないこと
- 信頼性
- 情報システムを構成する機器が意図した通りに動作していること
(次ページ、「情報セキュリティの基本対策」に続く)
この連載の記事
-
第6回
TECH
メールの誤送信を防ぐにはどうしたらいいの? -
第5回
TECH
携帯電話は盗聴される可能性がある? -
第4回
TECH
正しいURLなのに偽サイトに飛ばされる「ファーミング」とは? -
第2回
TECH
「ソーシャルエンジニアリング」ってどんな技術? -
第1回
TECH
いまさらですが「情報セキュリティ」とは、なんですか? - この連載の一覧へ