CIAトライアドとは
CIAトライアドとは、セキュリティの根本原理である機密性、完全性、可用性の頭文字です。
セキュリティに足を踏み入れたらまず知るべき概念です。会社や個人など情報を保持する主体は様々ですが、情報を守っている状態というのは、情報セキュリティのこの3要素を満たしていることになります。
ウイルス対策や事業継続計画などのセキュリティ対策は、すべて下記の3つ(CIA)面で考えられています。
- 機密性(Confidential) 暗号化、認証、アクセス制御など、権限のないメンバーや不特定多数など許可されていない人に漏洩・盗聴されないこと
- 完全性(Integrity) ハッシュ関数、デジタル署名など、データが勝手に改ざん・破棄されないこと
- 可用性(Availability) システム2重化など、サービスをいつでも使えることもしくはサービス稼働時間が長いこと
トライアド(三角形)というように、どれもかけてはいけず3つのバランスをとることが大事です。
逆に絶対にやってほしくないこと、漏洩(Disclosure)、変化(Alteration)、破壊(Destruction)の頭文字をとったものをDADといいます。
3性質はさらに細かく分類される
機密性、完全性、可用性はさらに細かく分けることができます。
機密性
- 感受性 開示された場合に、問題を引き起こす可能性がある度合い。
- 裁量 損害を最小限に抑えるために開示に影響を及ぼすか、または制御することができる決定の度合い。
- 重要度 ミッションクリティカルのレベル。
- 隠蔽 開示を隠す、または防止する行為。
- 秘密 何かを秘密にしたり、情報の漏えいを防ぐこと。
- プライバシー 個人を識別できる情報を秘密にすること。
- 孤立 どこかに何かを保管すること。
- 独立 情報の混同を防ぐこと。
完全性
- 正確性 情報が正確であること。
- 真実性 情報が事実に基づいていること。
- 真正性 本人が行ったことを保証すること。
- 妥当性 事実上または論理的に健全であること。
- 否認防止 記録されている情報が事実として否定することができないこと。
- 説明責任 監査ログに記録されなければならないこと。
- 責任 制御をすること。
- 包括性 挙動を示すすべての必要な要素を含んでいること。
可用性
- ユーザビリティ サービスの利用者が使いやすい状態。
- アクセシビリティ 広範囲の利用者を対象にリソースとやりとりできるという保証。
- 適時性 合理的な時間枠内で収めるよう、低遅延応答等を提供すること。
