CIAトライアド

サイバーセキュリティ専門家になるための総合学習サイト

CIAトライアドとは

CIAトライアドとは、セキュリティの根本原理である機密性、完全性、可用性の頭文字です。

セキュリティに足を踏み入れたらまず知るべき概念です。会社や個人など情報を保持する主体は様々ですが、情報を守っている状態というのは、情報セキュリティのこの3要素を満たしていることになります。

ウイルス対策や事業継続計画などのセキュリティ対策は、すべて下記の3つ(CIA)面で考えられています。

  • 機密性(Confidential) 暗号化、認証、アクセス制御など、権限のないメンバーや不特定多数など許可されていない人に漏洩・盗聴されないこと
  • 完全性(Integrity) ハッシュ関数、デジタル署名など、データが勝手に改ざん・破棄されないこと
  • 可用性(Availability) システム2重化など、サービスをいつでも使えることもしくはサービス稼働時間が長いこと

トライアド(三角形)というように、どれもかけてはいけず3つのバランスをとることが大事です。

逆に絶対にやってほしくないこと、漏洩(Disclosure)、変化(Alteration)、破壊(Destruction)の頭文字をとったものをDADといいます。

3性質はさらに細かく分類される

機密性、完全性、可用性はさらに細かく分けることができます。

  • 感受性 開示された場合に、問題を引き起こす可能性がある度合い。
  • 裁量 損害を最小限に抑えるために開示に影響を及ぼすか、または制御することができる決定の度合い。
  • 重要度 ミッションクリティカルのレベル。
  • 隠蔽 開示を隠す、または防止する行為。
  • 秘密 何かを秘密にしたり、情報の漏えいを防ぐこと。
  • プライバシー 個人を識別できる情報を秘密にすること。
  • 孤立 どこかに何かを保管すること。
  • 独立 情報の混同を防ぐこと。

  • 正確性 情報が正確であること。
  • 真実性 情報が事実に基づいていること。
  • 真正性 本人が行ったことを保証すること。
  • 妥当性 事実上または論理的に健全であること。
  • 否認防止 記録されている情報が事実として否定することができないこと。
  • 説明責任 監査ログに記録されなければならないこと。
  • 責任 制御をすること。
  • 包括性 挙動を示すすべての必要な要素を含んでいること。

  • ユーザビリティ サービスの利用者が使いやすい状態。
  • アクセシビリティ 広範囲の利用者を対象にリソースとやりとりできるという保証。
  • 適時性 合理的な時間枠内で収めるよう、低遅延応答等を提供すること。