CIA三原則
定義
CIA三原則は、情報セキュリティのあらゆる対策が目指す3つの目標「機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)」の頭文字を束ねたフレームワークです。機密性は「許可された人だけが情報にアクセスできる状態」、完全性は「データが正確で改ざんされていない状態」、可用性は「必要なときに正当なユーザーがシステムを使える状態」をそれぞれ指します。ランサムウェアは可用性を奪い、情報漏洩は機密性を侵害し、データ改ざんは完全性を破壊する——あらゆる攻撃はいずれかの原則への脅威として位置づけられます。3つはトレードオフの関係にもあり、機密性を高めるほど正規ユーザーの手順が複雑になって可用性が下がるケースも珍しくありません。セキュリティ投資の優先順位を議論するとき、「この対策はどの原則を守るためか」を問うと議論が整理しやすくなります。
詳細解説
CIA三原則はすべてのセキュリティ対策の目標を定義する枠組みです。リスク評価では「どの原則への脅威か」を軸に優先度を判断します。現代では説明責任(Accountability)や真正性(Authenticity)を加えた拡張版も使われます。
ポイント
- 機密性:暗号化・アクセス制御・最小権限の原則で実現する
- 完全性:ハッシュ関数・デジタル署名・バージョン管理で実現する
- 可用性:冗長化・バックアップ・DDoS対策・SLAで実現する
- 3つのバランスが重要 — 機密性を高めすぎると可用性が低下することがある
関連用語
同じカテゴリの用語(基礎概念)
データを第三者が読めない形式(暗号文)に変換する処理。対称暗号(AES)と非対称暗号(RSA)がある。転送中データ(TL…
正当なユーザーが必要なときに情報やシステムにアクセスできる性質。冗長化・バックアップ・DDoS対策などで実現する。CIA…
情報が正確かつ改ざんされていない状態を保つ性質。ハッシュ関数・デジタル署名・チェックサムなどで実現する。CIA三原則のI…
許可された者だけが情報にアクセスできる性質。暗号化・アクセス制御・認証などの手段で実現する。CIA三原則のC。…
システムや情報に損害を与える可能性のある事象・行為・主体。自然災害・内部不正・外部攻撃者・マルウェアなどが含まれる。リス…
ユーザーやプロセスには、タスク遂行に必要な最低限の権限のみを付与するセキュリティ原則。権限昇格攻撃の被害範囲を最小化する…