情報セキュリティの学習をはじめるとき、最初に立ちはだかるのが「情報セキュリティとは、結局なにを守ることなのか」という問いです。技術的な対策の話に入る前に、まずこの問いに対する答えを、骨格として頭に入れておく必要があります。
その骨格こそが、CIAトライアドと呼ばれる3つの要素です。ここでは、CIAトライアドの定義と、要素どうしの関係を、さえちゃん・ゆみちゃん・かよちゃんと一緒に順を追って見ていきましょう。
情報セキュリティとは何か
情報セキュリティとは、不正なアクセス、攻撃、窃盗、または損害から、データやリソースを保護すること全般を指します。「鍵をかける」「ウイルス対策ソフトを入れる」といった個別の対策の集合ではなく、組織として情報資産をどう守るかという考え方そのものです。
この保護の目的を、もう少し具体的に分解した枠組みが、次に説明する3要素です。情報セキュリティに関するあらゆる議論は、最終的にこの3つのうちのどれか(または複数)を守るための活動に帰着します。
CIAトライアド ― 3つの基本要素
情報セキュリティを構成する3要素は、それぞれの英単語の頭文字をとって CIAトライアド と呼ばれます。英名・日本語名・定義の3点セットで、対応関係をしっかり押さえておきましょう。
- 機密性(Confidentiality/コンフィデンシャリティ):データへのアクセスを許可された人だけが、その情報を見られる状態を保つこと。
- 完全性(Integrity/インテグリティ):データが不正に改ざんされたり、壊れたりしていない、正確で一貫性のある状態を保つこと。
- 可用性(Availability/アベイラビリティ):必要なときに、データやシステムを利用できる状態を保つこと。
機密性と可用性は、トレードオフの関係
CIAの3要素のうち、機密性と可用性は、互いにトレードオフの関係にあります。トレードオフとは、一方のメリットを追求すると、もう一方のデメリットが大きくなる関係のことです。
たとえば、機密性を極限まで追求するとどうなるかを考えてみましょう。パソコンをネットワークから切り離し、外部メディアの使用も禁止します。さらに、持ち運べないほど重い金庫に保管し、その部屋に入るまでに何重もの認証を要求するように設定します。
このような対策をすれば、確かに機密性は最大限に保たれます。しかし、その代償として可用性、つまり「必要なときに使えるか」は著しく低下します。インターネットにも接続できず、使うたびに複雑な認証を要求されるパソコンは、もはや業務に使える道具とは言えません。これは機密性100%・可用性0%という極端な状態です。
完全性は、両者を支える基盤
機密性と可用性がトレードオフの関係にあるのに対し、完全性は、両者の土台となる性質を持ちます。データの正確さと一貫性が保たれていることは、機密性や可用性を語る前提条件だからです。
たとえば、いくら厳重にアクセス制御をかけても、その内側にあるデータがすでに改ざんされていれば、保護している意味がありません。逆に、いつでも素早くアクセスできるシステムを用意しても、返ってくる答えが間違っていたら、業務には使えません。
正しいデータであるという前提があってはじめて、機密性や可用性に価値が生まれる。これが、完全性が「基盤」と呼ばれる理由です。
まとめ
ここまでの内容を整理します。
- 情報セキュリティとは、不正なアクセス・攻撃・窃盗・損害からデータやリソースを保護することの総称である。
- 情報セキュリティは機密性(C)・完全性(I)・可用性(A)の3要素から成り、これをCIAトライアドと呼ぶ。
- 機密性と可用性はトレードオフの関係にあり、組織の実情に応じて最適なバランス点を考えることが求められる。
- 完全性は機密性・可用性の基盤となる性質であり、データの正確さと一貫性が保たれてはじめて、ほかの2要素に意味が生まれる。



