はじめに
情報セキュリティの基本原則は CIAトライアド(CIA Triad) と呼ばれる
機密性(Confidentiality)・完全性(Integrity)・可用性(Availability) の3つで構成されます。
この3要素は、システムやデータを守るすべてのセキュリティ設計の土台です。
1. CIAトライアドの概要
| 要素 | 英語 | 説明 | 実現例 |
|---|---|---|---|
| 機密性 | Confidentiality | 許可された人だけが情報にアクセスできる状態を維持 | アクセス制御、暗号化、二段階認証 |
| 完全性 | Integrity | 情報が改ざんされず正確であることを保証 | デジタル署名、ハッシュ検証、監査ログ |
| 可用性 | Availability | 必要な時に情報やシステムが利用可能であること | 冗長化、バックアップ、DDoS対策 |
2. 各要素の詳細
機密性(Confidentiality)
-
目的:許可されていないアクセスを防ぐ
-
代表的対策
-
ユーザー認証(ID/パスワード、2FA)
-
暗号化(TLS、AES など)
-
アクセス制御(ACL、RBAC)
-
-
実例:社外秘資料を暗号化し、権限を持つ社員のみが開けるようにする
完全性(Integrity)
-
目的:情報が正確で、改ざんされていないことを保証
-
代表的対策
-
ハッシュ関数(SHA-256など)
-
デジタル署名
-
バージョン管理・監査ログ
-
-
実例:ダウンロードしたソフトのハッシュ値を検証し、改ざんがないか確認
可用性(Availability)
-
目的:必要な時に利用できる状態を維持
-
代表的対策
-
サーバ冗長化(クラスタリング、ロードバランサー)
-
定期バックアップ
-
DDoS対策、障害復旧計画(DR/BCP)
-
-
実例:災害時でもクラウド上から業務システムにアクセス可能にする
3 . バランスの重要性
-
機密性を高めすぎると可用性が低下することがある
例:アクセス制御を厳格にしすぎて、業務が遅延 -
可用性を重視しすぎると機密性や完全性が損なわれることも
例:誰でもアクセスできる状態にしてしまい情報漏えい
セキュリティ設計では「3つのバランス」を取ることが重要です。
まとめ
-
CIAトライアドは情報セキュリティの基本原則
-
機密性・完全性・可用性はそれぞれ異なる対策で実現する
-
設計時は「3つのバランス」を意識することで、実務に耐えるセキュリティが構築可能-