情報セキュリティの3要素 (ジョウホウセキュリティノサンヨウソ) とは | 意味や読み方など丁寧でわかりやすい用語解説
情報セキュリティの3要素 (ジョウホウセキュリティノサンヨウソ) の読み方
日本語表記
機密性・完全性・可用性 (キミツセイ・カンゼンセイ・カヨウセイ)
英語表記
CIA (シーアイエー)
情報セキュリティの3要素 (ジョウホウセキュリティノサンヨウソ) の意味や用語解説
情報セキュリティは、情報資産を様々な脅威から保護し、その価値を維持するための取り組み全般を指す。この情報セキュリティを考える上で、国際的に基本となる概念が「情報セキュリティの3要素」である。これは「機密性」「完全性」「可用性」の3つの要素から構成され、それぞれの英語の頭文字を取って「CIA」とも呼ばれる。システムエンジニアは、安全で信頼性の高いシステムを構築・運用するために、これら3つの要素を常に意識し、それぞれをバランス良く維持することが求められる。この3要素は、情報セキュリティ対策を検討する際の基盤となる、普遍的かつ重要な指針である。 まず、一つ目の要素は「機密性(Confidentiality)」である。機密性とは、認可された正規のユーザーだけが情報にアクセスでき、その内容を閲覧したり利用したりできる状態を保証することを指す。言い換えれば、情報が不正に漏洩したり、権限のない人物に盗み見られたりしないように保護することである。企業における顧客の個人情報、新製品の開発情報、財務データといった機密情報が外部に流出すれば、企業の信用失墜や経済的損失、法的な責任問題に発展する可能性がある。機密性を脅かす代表的な脅威としては、悪意のある第三者によるネットワーク経由の不正アクセス、通信データの盗聴、マルウェア感染による情報窃取、あるいは従業員の不注意による情報持ち出しなどが挙げられる。これらの脅威から機密性を守るための具体的な対策には、IDとパスワードによる認証、生体認証などを組み合わせた多要素認証、役職や職務に応じてアクセスできる情報の範囲を制限するアクセス制御、ファイルや通信経路を暗号化して第三者が読み取れないようにする技術、そしてネットワークの出入り口で不正な通信を遮断するファイアウォールの設置などがある。 二つ目の要素は「完全性(Integrity)」である。完全性とは、情報が正確であり、かつ最新の状態が保たれていること、つまり情報が不正に破壊、改ざん、または消去されていない状態を保証することを意味する。情報システムが扱うデータは、その正確さが信頼性の根幹をなす。例えば、金融機関の取引記録が改ざんされたり、医療機関の患者データが誤った情報に書き換えられたりすれば、社会的な大混乱や人命に関わる事態を引き起こしかねない。完全性を損なう脅威には、サイバー攻撃によるWebサイトのコンテンツ改ざん、コンピュータウイルスによるファイルの破壊、通信経路上でのデータ書き換え、さらにはシステム操作のミスといったヒューマンエラーも含まれる。完全性を維持するための対策としては、まず機密性と同様に、厳格なアクセス制御によって権限のないユーザーによるデータの変更を防ぐことが基本となる。それに加えて、データがいつ、誰によって、どのように変更されたかを記録する監査ログの取得、データが改ざんされていないことを数学的に証明するハッシュ関数やデジタル署名の利用、そして万が一データが破損した場合に備えて、定期的にバックアップを取得し、いつでも復元できる体制を整えておくことが重要である。 三つ目の要素は「可用性(Availability)」である。可用性とは、認可されたユーザーが必要なときに、いつでも中断することなく情報システムやサービスを利用できる状態を保証することを指す。つまり、システムが停止することなく、安定して稼働し続けることである。ECサイトがサーバーダウンで購入手続きができなくなれば販売機会を損失し、企業の基幹システムが停止すれば業務全体が滞ってしまう。可用性は事業の継続性に直結する要素であり、特に24時間365日の稼働が求められるサービスにおいては極めて重要視される。可用性を脅かす要因は多岐にわたり、特定のサーバーに大量のアクセスを集中させて機能を停止させるDDoS攻撃のようなサイバー攻撃のほか、サーバーやネットワーク機器の物理的な故障、ソフトウェアのバグ、大規模な地震や水害といった自然災害、停電などが挙げられる。可用性を高めるための対策としては、サーバーやストレージ、ネットワーク機器などを複数台用意して、一台に障害が発生しても他の機器でサービスを継続できるようにする冗長化構成の採用が一般的である。また、災害対策として遠隔地にバックアップシステムを構築するディザスタリカバリ(DR)計画の策定、停電に備えるための無停電電源装置(UPS)や自家発電設備の導入も有効な手段となる。 情報セキュリティの確保においては、これら機密性、完全性、可用性のいずれか一つだけを重視するのではなく、対象となる情報資産の特性やシステムの用途に応じて、3要素のバランスを適切に取ることが不可欠である。例えば、国家機密を扱うシステムでは機密性が最優先されるが、誰もが利用する公共情報サイトでは可用性がより重視される。システムエンジニアは、この3要素を羅針盤として、システムに潜むリスクを分析し、最適なセキュリティ対策を設計・実装する責務を負っている。