TOPセキュリティ > 情報セキュリティーの3要素を総合的に考える、CIAトライアド...

セキュリティ

情報セキュリティーの3要素を総合的に考える、CIAトライアド(上)

2020/03/09

Josh Fruhlinger CSO

 CIAトライアドは、情報セキュリティの基本的な枠組みであり、組織のデータを守るための取り組みやポリシーの指針になるモデルとして広く取り入れられている。

 ここで言うCIAは、米国のCIA(中央情報局)とは関係ない。情報セキュリティの基本原則である次の3項目の頭文字から来た言葉だ。

Credit: nolimit46 / Getty Images
  • 機密性(Confidentiality):データへのアクセスや修正を行えるのは、正規のユーザーやプロセスに限られる。
  • 完全性(Integrity):データは常に正しい状態に維持されている必要がある。偶発的であれ意図的であれ、不適切な修正は一切認めない。
  • 可用性(Availability):正規のユーザーは、データにアクセスする必要がある時はいつでもアクセスできなければならない。

 情報セキュリティのプロフェッショナルであれば、これらの項目の一つひとつは当然念頭に置いているはずだが、3つをひとまとまりとして意識することによって、各項目で重複する面や相反する面について、綿密に検討する必要が出てくる。こうした点を考えることは、セキュリティポリシーを導入する際の優先順位を確立するうえでもプラスになる。3原則の各項目については後ほどもう少し詳しく検討することにして、まずはCIAトライアドのルーツと重要性について見ていくことにしよう。

CIAトライアドのルーツ

 情報セキュリティの基本概念の中には、その発案者や提唱者を特定できるものも多いが、CIAトライアドはそうではないようだ。情報セキュリティプロフェッショナルの間で、時とともに英知として確立されていった。

 米サイバーセキュリティ企業DragosのBen Millerバイスプレジデントは、2010年のブログ記事で、CIAトライアドの各項目のルーツをたどっている。それによると、機密性の概念がコンピューター科学の分野で最初に明確化されたのは、1976年の米空軍の調査結果だった。また完全性については、1987年の論文の中で、商用コンピューティングにおける会計データの正確性へのニーズといった面が取り上げられている。可用性については、ルーツを明確に突き止めることは難しかったそうだが、可用性を巡る議論が目立ってきたのは1988年だった。マルウエアの草分けとも言える「Morris worm」によって、黎明期のインターネットのかなりの部分が停止に追い込まれた頃である。

↑ページ先頭へ