TOPセキュリティ > 情報セキュリティーの3要素を総合的に考える、CIAトライアド...

セキュリティ

情報セキュリティーの3要素を総合的に考える、CIAトライアド(下)

2020/03/13

Josh Fruhlinger CSO

 可用性を維持する役割は、サイバーセキュリティ部門とは別の部門にかかっていることが少なくない。データを利用可能な状態に保つには、すべてのシステムの稼働を維持することと、予期されるネットワーク負荷に対処できるようにしておくことが何より重要だ。そこで、ハードウエアを最新の状態にしておくこと、ネットワークの使用量を監視すること、システムダウンに備えてフェイルオーバーとディザスタリカバリに対応できるようにしておくことが欠かせない。

前回から続く)

CIAトライアドの可用性の例

Credit: PeopleImages / Getty Images

 可用性に関するそのほかの手法の中には、機密性や完全性との兼ね合いを導き出す方法が関係しているものもある。オペレーティングシステムのファイルのアクセス制御を再び例に取ると、ファイルの読み取りを多くのユーザーに認めつつ、編集は一部のユーザーのみに限定するという方法は、可用性と完全性という相反するニーズを満たす1つの策となる。

 攻撃者が可用性を侵害する典型例としては、サービス拒否(DoS)攻撃がある。ある意味では、サイバー攻撃の中でもとりわけ力ずくの手法だ。攻撃先のデータを改ざんしたり、本来見られないはずの情報を盗み見たりするわけではなく、尋常でない量のトラフィックを送り込んでWebサイトをダウンさせるだけの攻撃だが、そのダメージは極めて大きい。だからこそ、可用性はトライアドの一角を成している。

CIAトライアドの導入

 全社規模でセキュリティポリシーやフレームワークの策定と導入を行う際には、CIAトライアドを指針として活用する必要がある。CIAトライアドは、特定のツールを購入すれば導入できるといった性格のものではない。CIAトライアドは、思考の方法、計画の方法、そして何より重要な、優先順位付けの方法である。完全性に重きを置いているNISTのサイバーセキュリティフレームワークをはじめ、業界標準のセキュリティフレームワークは、CIAトライアドの概念を踏まえているが、それぞれ重心が異なっている。

↑ページ先頭へ