基礎概念
機密性
Confidentiality
定義
機密性とは「権限を持つ人だけが情報にアクセスできる」という性質で、CIA三原則の"C"にあたります。個人情報・営業秘密・医療記録・暗号鍵といった機微情報が第三者に渡ることを防ぐのが主目的です。暗号化・アクセス制御リスト(ACL)・認証・最小権限の原則・データ分類ポリシーが機密性を技術的に担保する主な手段であり、いずれも「本当に必要な人だけに、必要な情報を」という考え方の実装です。機密性が侵害される代表的な経路は、盗聴(暗号化されていない通信の傍受)・不正アクセス(認証情報の窃取や脆弱性の悪用)・内部不正(過剰な権限を持つ従業員による意図的な漏洩)の3つです。機密性を高めすぎると可用性が下がるというトレードオフがあるため、ビジネス要件と折り合いをつける設計判断が求められます。
関連用語
同じカテゴリの用語(基礎概念)
CIA三原則
CIA Triad
情報セキュリティの3つの基本要素。機密性(Confidentiality)・完全性(Integrity)・可用性(Ava…
暗号化
Encryption
データを第三者が読めない形式(暗号文)に変換する処理。対称暗号(AES)と非対称暗号(RSA)がある。転送中データ(TL…
可用性
Availability
正当なユーザーが必要なときに情報やシステムにアクセスできる性質。冗長化・バックアップ・DDoS対策などで実現する。CIA…
完全性
Integrity
情報が正確かつ改ざんされていない状態を保つ性質。ハッシュ関数・デジタル署名・チェックサムなどで実現する。CIA三原則のI…
脅威
Threat
システムや情報に損害を与える可能性のある事象・行為・主体。自然災害・内部不正・外部攻撃者・マルウェアなどが含まれる。リス…
最小権限の原則
Principle of Least Privilege
ユーザーやプロセスには、タスク遂行に必要な最低限の権限のみを付与するセキュリティ原則。権限昇格攻撃の被害範囲を最小化する…