【SG試験】情報セキュリティの3要素「CIA」とは?守りの基本をマスターする

IT資格

情報セキュリティマネジメント試験(SG)の学習を始める際、一番最初に登場するのが「情報セキュリティの3要素」です。

「機密性」「完全性」「可用性」という3つの漢字が並ぶと、少し難しく感じるかもしれません。しかし、これらは私たちが日々の業務で情報を扱う際、無意識に守ろうとしている「3つの約束事」そのものです。

今回は、これら3つの要素(CIA)の定義と、具体的な事例を交えた覚え方を詳しく解説します。

情報セキュリティの3要素「CIA」とは?

情報セキュリティとは、単に「漏洩を防ぐ」ことだけではありません。IPA(情報処理推進機構)では、情報セキュリティを以下の3つの要素を維持することと定義しています。

それぞれの英語の頭文字をとって、「CIA」と呼ばれます。

  • Confidentiality(機密性): 許可された人だけがアクセスできること
  • Integrity(完全性): 情報が正確で、改ざんされていないこと
  • Availability(可用性): 必要な時にいつでも使えること

SG試験では、あるトラブルが起きた際に「CIAのどの要素が損なわれたか?」を問う問題が頻出します。一つずつ詳しく見ていきましょう。

机の上の資料で考える「機密性(Confidentiality)」

機密性とは、一言で言えば「見せてはいけない人に見せない」ということです。

例えば、社外秘のプロジェクト資料を机の上に放置して席を外したとします。通りかかった他部署の人や来客がその資料を盗み見てしまったら、それは「機密性が損なわれた」状態です。

実務での具体例

  • 対策: パスワード設定、アクセス権限の管理、暗号化、離席時のスクリーンロック。
  • 損なわれるケース: ウイルス感染による情報漏洩、メールの誤送信、ノートPCの紛失。

「秘密を守る」というイメージで捉えると分かりやすいでしょう。

データの正しさを保証する「完全性(Integrity)」

完全性とは、「情報が正しい状態で保たれている」ということです。

どれだけ秘密が守られていても、その中身が勝手に書き換えられていたら、情報の価値はなくなってしまいます。例えば、Webサイトの価格表示が「10,000円」から「10円」に改ざんされてしまったら、ビジネスは大混乱に陥ります。

実務での具体例

  • 対策: デジタル署名、ハッシュ値によるチェック、ログの記録、バックアップ。
  • 損なわれるケース: Webサイトの改ざん、転送中のデータの欠落、操作ミスによる上書き。

「完璧な状態(最新かつ正確)」を維持することが完全性です。

使いたい時に使える「可用性(Availability)」

3つの中で意外と見落とされがちなのが、この可用性です。

可用性とは、「必要な人が、必要な時に、いつでも情報を使える」ということです。どれだけ厳重にパスワードをかけて(機密性)、正しいデータを保存していても(完全性)、システムがダウンしてアクセスできなければ、仕事になりません。

実務での具体例

  • 対策: システムの冗長化(二重化)、UPS(無停電電源装置)の導入、バックアップ、DDoS攻撃対策。
  • 損なわれるケース: サーバーダウン、停電、災害による機材故障、DDoS攻撃によるアクセス不能。

「サービスが止まらないこと」が可用性の肝となります。

試験に出る「追加の4要素」

近年のSG試験では、CIAの3要素に加えて、さらに「4つの要素」が問われることがあります。あわせて押さえておきましょう。

  1. 真正性(Authenticity): 利用者が本人であること、作成者が偽物でないことを証明できること。(例:デジタル署名)
  2. 責任追跡性(Accountability): 誰が、いつ、何をしたか後から追跡できること。(例:操作ログの記録)
  3. 否認防止(Non-repudiation): 「私はやっていない」という後からのしらを切らせないこと。(例:タイムスタンプ)
  4. 信頼性(Reliability): システムが意図した通りに正しく動作すること。(例:バグのないプログラム)

まずは基本のCIAを完璧にし、余裕があればこの4つを「CIAを補強するもの」として覚えるのが効率的です。

まとめ:バランスが大事なセキュリティ

情報セキュリティマネジメントの難しいところは、これら3要素の「バランス」にあります。

例えば、機密性を極限まで高めようとして「アクセスには10段階の認証が必要」「オフィスからしか閲覧不可」とルールを厳しくしすぎると、今度は「使いたい時にすぐ使えない」という可用性が損なわれてしまいます。

SG試験の学習を通じて私たちが目指すのは、それぞれの要素を100点にすることではなく、「守るべき情報の価値に合わせて、CIAのバランスを最適化する(マネジメントする)力」を身につけることです。

次回の記事では、このCIAを脅かす具体的な正体、つまり「脅威」と「脆弱性」の違いについて解説します。

コメント