📌 結論から理解する
CIAは「情報セキュリティの目標」を示す3本柱
情報セキュリティのすべての対策は、機密性(C)・完全性(I)・可用性(A)のどれかを守るためにあります。
試験問題を解くとき「この対策はCIAのどれを守るか?」と考えると正解に近づきます。
CIA三要素の図解
🔒
C
機密性
許可された人
だけがアクセス
できる状態
だけがアクセス
できる状態
✅
I
完全性
改ざん・破損の
ない正確な
状態
ない正確な
状態
⚡
A
可用性
必要な時に
いつでも使える
状態
いつでも使える
状態
CIAが失われるとどうなるか(具体例)
| 要素 | 失われた状態 | 具体的な事例 |
|---|---|---|
| 機密性の喪失 | 権限のない人が情報にアクセスできてしまう | ・顧客データが外部に漏えい ・社員が他部署の機密書類を閲覧 ・盗まれたPCから個人情報が流出 |
| 完全性の喪失 | 情報が不正に書き換えられる・破損する | ・Webサイトのデータが攻撃者に改ざんされる ・マルウェアがファイルを破壊 ・送信途中でメールの内容が書き換えられる |
| 可用性の喪失 | 必要な時に情報・システムが使えない | ・DDoS攻撃でWebサイトがダウン ・ランサムウェアでファイルが暗号化されアクセス不能 ・サーバ障害で業務システムが停止 |
各要素を守る主な対策
C 機密性
暗号化・アクセス制御・認証(パスワード・MFA)・最小権限の原則・鍵管理・秘密保持契約
I 完全性
ハッシュ関数・電子署名・デジタル証明書・バックアップ・版数管理・ログ取得・チェックサム
A 可用性
冗長化・バックアップ・RAID・UPS・BCP策定・SLA管理・DDoS対策・定期メンテナンス
試験では「○○の対策は、CIA三要素のうち何に貢献するか」という問いが頻出。例:「電子署名→完全性と認証」「冗長化→可用性」
CIAのトレードオフ
3つの要素は強化するほど他の要素と競合することがあるという重要な特性があります。
機密性↑ vs 可用性↓
アクセス制限を強くすると→正規ユーザーが使いにくくなる
例:強力な認証を増やす→ログインが面倒→利便性が下がる
アクセス制限を強くすると→正規ユーザーが使いにくくなる
例:強力な認証を増やす→ログインが面倒→利便性が下がる
完全性↑ vs 可用性↓
更新前に毎回検証する→処理が遅くなる→可用性が低下
更新前に毎回検証する→処理が遅くなる→可用性が低下
バランスを取ることが情報セキュリティマネジメントの本質です。「すべてを最大化」はできません。
追加の3要素(ISMS ISO/IEC 27001)
JIS Q 27000では、CIAに加えて以下も情報セキュリティの特性として定義されています。
| 特性 | 意味 |
|---|---|
| 真正性(Authenticity) | 情報・エンティティが本物であることを保証する |
| 責任追跡性(Accountability) | 誰が何をしたかを追跡できる(ログで証明) |
| 否認防止(Non-repudiation) | 「やっていない」と後から言えない状態にする(電子署名) |
| 信頼性(Reliability) | 意図した動作を確実に行う |
電子署名は「完全性」「真正性」「否認防止」の3つを同時に保証する手段として頻出。
よくある勘違い
「情報セキュリティ=機密性だけ守ること」は誤り。完全性(改ざん対策)と可用性(システム稼働確保)も同等に重要です。
「DDoS攻撃→機密性の侵害」は誤り。DDoSはサービスを止める攻撃なので可用性の侵害です。
「データ改ざん→機密性の侵害」は誤り。改ざんは完全性の侵害です。
🧠 確認クイズ
Q1. ランサムウェアに感染してファイルが暗号化されアクセスできなくなった。CIA三要素のうち最も直接的に侵害されたのはどれか?
Q2. 電子署名が保証するCIAの要素は?
Q3. 「機密性を高めるほど可用性が下がりやすい」理由として最も適切なのは?