MENU
  1. ホーム
  2. テクノロジ系
  3. 情報セキュリティ3要素をわかりやすく解説!機密性・完全性・可用性の覚え方

情報セキュリティ3要素をわかりやすく解説!機密性・完全性・可用性の覚え方

テクノロジ系

ITパスポート試験の勉強を始めると、最初の方で必ず出会うのが情報セキュリティの3要素という言葉です。なんだか難しそうな漢字が並んでいますが、中身は私たちの日常にとても馴染みがあるものです。

この3つの要素は、それぞれの英語の頭文字をとってCIAと呼ばれます。情報セキュリティの活動は、突き詰めるとこのCIAをバランスよく保つことと言い換えることができます。

今回は、IT初心者の方でもイメージしやすいように、身近な例を使いながら解説します。

情報セキュリティの基礎である「機密性」「完全性」「可用性」について、IT初心者である学生向けにわかりやすく解説する記事を作成します。

目次

機密性とは:許可された人だけが見られること

機密性は、情報へのアクセスを適切な人に限定することを指します。英語ではConfidentialityといいます。

例えば、SNSの鍵アカウントを想像してみてください。フォロワーだけに投稿を見せる設定は、まさに機密性を守っている状態です。もし設定が勝手に外れて、知らない人にプライベートな写真を見られてしまったら、機密性が損なわれたことになります。

ビジネスの現場では、以下のような対策で機密性を守っています。

  • IDとパスワードによる本人確認
  • 指紋や顔認証などの生体認証
  • 重要なデータを暗号化して、盗まれても内容を読めないようにする

完全性とは:情報が正確で改ざんされていないこと

完全性は、情報が正しく、最新の状態で保たれていることを指します。英語ではIntegrityといいます。

例えば、ネットショッピングで1000円の商品を注文したとします。注文を確定した瞬間に、知らないうちに金額が10000円に書き換えられてしまったら困りますよね。このように、データが勝手に書き換えられたり壊されたりしていない状態を、完全性が保たれているといいます。

完全性を守るための主な対策は以下の通りです。

  • デジタル署名を使って、送信者が本人であることと、途中で書き換えられていないことを証明する
  • 操作ログ(履歴)を記録して、誰がいつ変更したかを確認できるようにする

可用性とは:必要な時にいつでも使えること

可用性は、利用者が使いたい時にシステムやデータが正常に利用できる状態を指します。英語ではAvailabilityといいます。

例えば、24時間営業のコンビニが、夜中に行ってみたら閉まっていたら不便ですよね。また、楽しみにしていたオンラインゲームのサーバーがダウンして遊べない状態も、可用性が失われているといいます。

可用性を高めるためには、以下のような工夫が行われています。

  • サーバーや回線を二重化して、一方が故障しても予備に切り替えて動かし続ける
  • 停電に備えて予備のバッテリー(UPS)を用意する

CIAのバランスが大切

情報セキュリティを考えるとき、この3つの要素のバランスを取ることが非常に重要です。

例えば、機密性を極限まで高めようとして、ログインするたびに10枚の画像認証を求めたり、パスワードを1分おきに変えたりしたらどうでしょうか。確かにセキュリティは強くなりますが、使いにくくて仕事になりません。これは、機密性を優先しすぎて可用性が大きく下がってしまった状態です。

試験では、この3つの定義だけでなく、どのようなインシデント(トラブル)がどの要素を損なうのかという視点も問われます。

ITパスポート試験の過去問に挑戦

それでは、実際の過去問で知識を確認してみましょう。

情報セキュリティの3要素である機密性,完全性及び可用性と,それらを確保するための対策の例a~cの適切な組合せはどれか。

a アクセス制御
b デジタル署名
c ディスクの二重化

(平成31年度 春期 問65 一部改変)

解答:
機密性:a
完全性:b
可用性:c

解説:
アクセス制御は許可された人だけを通す仕組みなので機密性、デジタル署名は改ざんを防ぐので完全性、ディスクの二重化は故障時に備えるので可用性に対応します。

次のa~cのインシデントのうち,情報セキュリティの要素である可用性が損なわれるものだけを全て挙げたものはどれか。

a WebサイトがDDoS攻撃を受けて,サービスが停止した。
b PCがマルウェアに感染したことで,ハードディスク内のファイルが暗号化されて開けなくなった。
c データベースの操作ミスによって,顧客名簿から一部のデータが削除された。

(令和元年度 秋期 問92)

解答:
a, b, c 全て

解説:
可用性は「いつでも使えること」です。
aはサービス停止なので可用性の損失。
bはファイルが開けない(使えない)状態なので、これも可用性の損失です(機密性も損なわれる可能性がありますが、この場合は使えないことに注目します)。
cはデータが削除されて参照できなくなったため、可用性が損なわれたといえます。

本日のまとめ

  • 機密性: 許可された人だけが見られる(鍵アカウントのイメージ)
  • 完全性: データが正確で壊れていない(注文金額が正しいイメージ)
  • 可用性: 使いたい時にいつでも使える(24時間営業のイメージ)

この3要素は、ITパスポート試験だけでなく、将来どんな仕事に就いても役立つ超基本の考え方です。頭文字のCIAと一緒に、日々の生活の中にあるセキュリティに目を向けてみてください。

テクノロジ系

関連記事

目次