Home / 楽しく学ぶ情報セキュリティ / 情報セキュリティを支える、CIAトライアドという考え方
Security — 楽しく学ぶ情報セキュリティ

情報セキュリティを支える、CIAトライアドという考え方

情報セキュリティの学習をはじめるとき、最初に立ちはだかるのが「情報セキュリティとは、結局なにを守ることなのか」という問いです。技術的な対策の話に入る前に、まずこの問いに対する答えを、骨格として頭に入れておく必要があります。

その骨格こそが、CIAトライアドと呼ばれる3つの要素です。ここでは、CIAトライアドの定義と、要素どうしの関係を、さえちゃん・ゆみちゃん・かよちゃんと一緒に順を追って見ていきましょう。

情報セキュリティとは何か

情報セキュリティとは、不正なアクセス、攻撃、窃盗、または損害から、データやリソースを保護すること全般を指します。「鍵をかける」「ウイルス対策ソフトを入れる」といった個別の対策の集合ではなく、組織として情報資産をどう守るかという考え方そのものです。

この保護の目的を、もう少し具体的に分解した枠組みが、次に説明する3要素です。情報セキュリティに関するあらゆる議論は、最終的にこの3つのうちのどれか(または複数)を守るための活動に帰着します。

さえちゃんさえちゃんねえゆみちゃん、「情報セキュリティ」ってよく聞くけど、具体的に何を守ることなの?
ゆみちゃんゆみちゃんいい質問だね。ひとことで言うと、データやシステムを、悪いことから守ること全般を指す言葉なの。鍵をかけたりウイルス対策をしたり、個別の対策だけじゃなくて、組織全体としてどう守るかっていう考え方そのものなんだよ。
かよちゃんかよちゃんなるほどー。じゃあ紙の書類の管理とかも入るんですか?
ゆみちゃんゆみちゃんそのとおり! 「情報セキュリティ」は「サイバーセキュリティ」より広い概念で、紙の書類の管理や、人による情報の持ち出し対策なんかも含まれるの。まずはそこを押さえておこう。

CIAトライアド ― 3つの基本要素

情報セキュリティを構成する3要素は、それぞれの英単語の頭文字をとって CIAトライアド と呼ばれます。英名・日本語名・定義の3点セットで、対応関係をしっかり押さえておきましょう。

  • 機密性(Confidentiality/コンフィデンシャリティ):データへのアクセスを許可された人だけが、その情報を見られる状態を保つこと。
  • 完全性(Integrity/インテグリティ):データが不正に改ざんされたり、壊れたりしていない、正確で一貫性のある状態を保つこと。
  • 可用性(Availability/アベイラビリティ):必要なときに、データやシステムを利用できる状態を保つこと。
ゆみちゃんゆみちゃんConfidentiality・Integrity・Availabilityの頭文字をとって、CIAトライアド。「トライアド」は三位一体って意味だよ。
かよちゃんかよちゃん三つでワンセットってことですね! 覚えやすい語呂合わせとかあったりします?
ゆみちゃんゆみちゃん「機密性・完全性・可用性」の順番で「き・か・か」って覚えるといいかも。まずはこの3つの言葉と意味をセットで頭に入れちゃおう。

機密性と可用性は、トレードオフの関係

CIAの3要素のうち、機密性と可用性は、互いにトレードオフの関係にあります。トレードオフとは、一方のメリットを追求すると、もう一方のデメリットが大きくなる関係のことです。

たとえば、機密性を極限まで追求するとどうなるかを考えてみましょう。パソコンをネットワークから切り離し、外部メディアの使用も禁止します。さらに、持ち運べないほど重い金庫に保管し、その部屋に入るまでに何重もの認証を要求するように設定します。

このような対策をすれば、確かに機密性は最大限に保たれます。しかし、その代償として可用性、つまり「必要なときに使えるか」は著しく低下します。インターネットにも接続できず、使うたびに複雑な認証を要求されるパソコンは、もはや業務に使える道具とは言えません。これは機密性100%・可用性0%という極端な状態です。

さえちゃんさえちゃんえー、そんなに厳重にしたら、逆に仕事にならなくないですか?
ゆみちゃんゆみちゃんまさにそれが「トレードオフ」なの。機密性をあげればあげるほど、使いやすさ(可用性)は下がっていく。逆に、誰でもすぐ使えるようにすればするほど、情報が漏れるリスクは高くなる。
かよちゃんかよちゃんじゃあ、結局どっちを優先すればいいんですか?
ゆみちゃんゆみちゃん「どっちも大事」だから難しいんだよね。運用コストや業務への影響まで含めて、その組織にとってちょうどいい「最適なバランス点」を探すのが、情報セキュリティの本質なの。ガチガチに守ればいいってわけじゃないんだよ。

完全性は、両者を支える基盤

機密性と可用性がトレードオフの関係にあるのに対し、完全性は、両者の土台となる性質を持ちます。データの正確さと一貫性が保たれていることは、機密性や可用性を語る前提条件だからです。

たとえば、いくら厳重にアクセス制御をかけても、その内側にあるデータがすでに改ざんされていれば、保護している意味がありません。逆に、いつでも素早くアクセスできるシステムを用意しても、返ってくる答えが間違っていたら、業務には使えません。

正しいデータであるという前提があってはじめて、機密性や可用性に価値が生まれる。これが、完全性が「基盤」と呼ばれる理由です。

かよちゃんかよちゃん完全性だけ、ちょっと役割が違うんですね。
ゆみちゃんゆみちゃんそうなの。「機密性と可用性はトレードオフ、完全性はその両方を支える土台」っていう関係性が大事。3つを並列に並べるだけじゃなくて、お互いの関係まで説明できるようになると、理解がぐっと深まるよ。
さえちゃんさえちゃん土台がしっかりしてないと、そもそも守る意味がなくなっちゃうってことですね。納得です!

まとめ

ここまでの内容を整理します。

  • 情報セキュリティとは、不正なアクセス・攻撃・窃盗・損害からデータやリソースを保護することの総称である。
  • 情報セキュリティは機密性(C)・完全性(I)・可用性(A)の3要素から成り、これをCIAトライアドと呼ぶ。
  • 機密性と可用性はトレードオフの関係にあり、組織の実情に応じて最適なバランス点を考えることが求められる。
  • 完全性は機密性・可用性の基盤となる性質であり、データの正確さと一貫性が保たれてはじめて、ほかの2要素に意味が生まれる。
榊先生榊先生CIAトライアドは、情報セキュリティ全体の土台となる考え方です。この先扱っていく暗号化・認証・リスクマネジメントといったテーマも、すべてこの3要素のいずれかを守るための手段として整理することができます。この考え方を最初にしっかり腹落ちさせておくと、この後の学習がぐっと楽になりますよ。

楽しく学ぶ情報セキュリティの一覧へ