CyberFix Note情報セキュリティを機密性と完全性と可用性で整理する考え方
対象の目安: これから学ぶ人 / 入門
情報セキュリティの解説は、機密性と完全性と可用性という3つの言葉から始まることが多くあります。3つの頭文字をとってCIA(Confidentiality, Integrity, Availability)とも呼ばれ、何を守るための対策なのかを分類する物差しとして使われます。本記事は、この3要素がそれぞれ何を守るのかを定義から整理し、代表的な対策が3要素のどれに対応するのか、そして3つが同時には立てにくくなる場面までを、これから学ぶ人向けに説明します。
機密性と完全性と可用性の3要素で整理する理由
情報を守ると一言で言っても、守りたい中身は場面ごとに違います。他人に見られたくない情報もあれば、書き換えられては困る情報も、いつでも使えなければ意味がない情報もあります。これらを区別せずに「守る」とまとめると、どの対策が何のために必要なのかが見えなくなります。そこで守りたい性質を3つの軸に分けて考えるのが、機密性と完全性と可用性による整理です。
この3軸は国際的な標準でも情報セキュリティの定義の中心に置かれています。日本ではJIS Q 27000:2019が情報セキュリティを「情報の機密性、完全性及び可用性を維持すること」と定めています。米国でもFIPS 199が連邦情報システムを分類する基準として、機密性と完全性と可用性の3つで影響度を評価します。3要素は特定の製品や流行に依存しない普遍的な分類軸であるため、入門の出発点として広く使われています。
3要素が便利なのは、守る対象ごとにどの性質を優先するかを言葉にできるからです。たとえば公開予定のプレスリリースは機密性をさほど求めませんが、公開前に書き換えられない完全性は重視されます。逆に個人情報は機密性が最優先になります。次の節からは、3要素を一つずつ定義と対策の対応で見ていきます。
機密性は認可された相手だけが情報を扱える状態
機密性とは、認可されていない個人やプロセスに情報を使わせず、また開示しない特性です(JIS Q 27000:2019, 3.10)。許可された人だけが中身を読めて、それ以外には見えない状態を保つことを指します。機密性が破られるのは、権限のない第三者に情報が漏れるときです。FIPS 199も、機密性の喪失を「認可されていない情報開示」と定義しています。
機密性を守る対策は、情報へ近づける相手を絞り、近づけても中身を読めなくする方向に働きます。代表的なものを動作の対応で並べます。
- アクセス制御:利用者ごとに権限を設定し、許可された人だけがファイルやシステムに入れるようにします。
- 暗号化:情報を鍵を持つ相手しか復号できない形に変換し、保存中や通信中に第三者が中身を読めないようにします。
- 認証:パスワードや多要素認証で、操作している相手が許可された本人かどうかを確かめます。
これらは、たとえ通信を盗み見られたりファイルを持ち出されたりしても、鍵や権限がなければ中身を使えない状態を作ります。暗号化の基本的な仕組みは別記事で扱っています。
あわせて読みたい
暗号化の基礎。共通鍵・公開鍵・ハッシュ・TLSはどう情報を守るのか
完全性は情報が正確で欠けがない状態
完全性とは、情報の正確さと完全さの特性です(JIS Q 27000:2019, 3.36)。情報が許可なく書き換えられたり一部が欠けたりしておらず、本来のとおりであることを指します。完全性が破られるのは、データが改ざんされたり、転送中に壊れて気づかれないまま使われたりするときです。FIPS 199も、完全性の喪失を「認可されていない情報の変更または破壊」と定義しています。
完全性を守る対策は、変更が起きたかどうかを検知できるようにし、正しい人による正しい変更だけを通す方向に働きます。
- ハッシュ値による検証:ファイルからハッシュ値を計算しておき、後で再計算した値と照合することで、1ビットでも変われば違いが分かるようにします。
- デジタル署名:作成者の鍵で署名し、受け取った側が内容の改ざんと作成者を確かめられるようにします。
- 変更管理とログ:誰がいつ何を変更したかを記録し、想定外の書き換えに後から気づけるようにします。
完全性の対策は、機密性のように「見せない」ことではなく、「変わっていないことを確かめられる」ことを目的にします。ハッシュ値は中身を秘密にする仕組みではなく、中身が同じかどうかを判定する仕組みである点が、機密性の対策と異なります。
可用性は必要なときに使える状態
可用性とは、認可されたエンティティが要求したときにアクセスおよび使用が可能である特性です(JIS Q 27000:2019, 3.7)。許可された利用者が、使いたいときにシステムや情報を使える状態を指します。可用性が破られるのは、機器の故障やDoS攻撃、災害などでサービスが止まり、利用者が情報へ到達できなくなるときです。FIPS 199も、可用性の喪失を「情報または情報システムへのアクセスや利用の妨げ」と定義しています。
可用性を守る対策は、止まりにくくすること、止まっても早く戻せることの両方に働きます。
- 冗長化:サーバや回線を複数用意し、一方が故障しても残りで処理を続けられるようにします。
- バックアップ:データの複製を別の場所に保存し、元のデータが壊れても復元できるようにします。
- 構成の分散と負荷対策:処理を複数の経路に分け、一点への集中や過負荷で全体が止まらないようにします。
IPAの「中小企業の情報セキュリティ対策ガイドライン」では、第4.0版で「バックアップを取ろう」が情報セキュリティの基本項目に加えられています。バックアップは、ランサムウェアでデータが暗号化されたときの復旧でも要になります。
あわせて読みたい
ランサムウェア被害からの復旧とバックアップ設計。3-2-1とイミュータブルで「戻せる」備えをつくる
3要素が同時には立てにくくなる場面
3要素は別々の性質を測る軸であるため、ある要素を強めると別の要素が下がる場面があります。3つを同時に最大化できるとは限らない点が、優先度を決める必要を生みます。
機密性と可用性の間で生じる緊張が分かりやすい例です。機密性を高めようとして、アクセスのたびに多要素認証を求め、ファイルを強い暗号で固め、権限を細かく絞ると、許可された利用者にとっても手順が増え、鍵を失うと自分でも開けなくなります。これは利用のしやすさ、つまり可用性を下げる方向に働きます。逆に可用性を優先して、誰でもすぐ開けるように権限を緩め、復旧用のコピーを複数の場所に増やすと、情報が置かれる場所が増えて漏えいの経路も広がり、機密性を下げやすくなります。
完全性と可用性の間にも緊張があります。変更のたびに署名や承認を求める厳密な完全性の管理は、急いで使いたい場面では手続きの待ち時間になり、可用性を圧迫します。どの要素をどこまで求めるかは、扱う情報の性質によって変わります。患者の医療記録のように機密性と完全性をともに高く求める情報もあれば、災害時の避難情報のように、機密性よりも可用性を優先しやすい情報もあります。ただし避難情報の場合も、誤った内容が伝わると人命に関わるため、完全性は同時に高く求められます。可用性を優先することは、完全性を犠牲にしてよいことを意味しません。
メモ
3要素のどれを優先するかに唯一の正解はありません。守る情報ごとに、漏れたときの影響、書き換えられたときの影響、使えないときの影響を見比べて、組織として優先度を決めます。
権限設計は機密性と可用性の緊張が表れやすい場面の一つです。必要な人に必要なだけ権限を与える考え方は、両者の折り合いをつける手がかりになります。
あわせて読みたい
最小権限の原則(Least Privilege)。なぜ権限を絞ることが最強の防御の一つなのか
真正性や否認防止などの追加要素
3要素だけでは表しきれない性質もあります。JIS Q 27000:2019は、情報セキュリティの定義に続けて「真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めてもよい」と記しています。3要素を補う代表的な特性を、定義とあわせて挙げます。
- 真正性(Authenticity):エンティティが、主張するとおりのものであるという特性です(JIS Q 27000:2019, 3.6)。通信相手やデータの作成者が本物であることを指します。
- 否認防止(Non-repudiation):主張された事象や処置の発生と、それを引き起こしたエンティティを証明する能力です(同 3.48)。後から「自分はやっていない」と言い逃れできないようにします。
- 信頼性(Reliability):意図した行動と結果とが一貫しているという特性です(同 3.55)。システムが期待どおりに動き続けることを指します。
このほか、誰がどの操作を行ったかを一意にたどれる責任追跡性(Accountability)も挙げられます。これらの特性は3要素と独立して存在するというより、3要素を実現する過程で重なり合います。たとえばデジタル署名は、改ざんを検知する完全性と、作成者が本物だと示す真正性の両方を支えます。本人確認の精度を高める認証は、機密性を守ると同時に真正性の土台にもなります。
認証(本人を確かめること)と認可(その人に何を許すかを決めること)は、機密性と真正性に深く関わる区別です。両者の違いは別記事で整理しています。
あわせて読みたい
認証と認可の違い。Authentication と Authorization を基礎から整理する
機密性、完全性、可用性、真正性、否認防止、信頼性の定義はJIS Q 27000:2019(kikakurui.com掲載)の用語規定を、各要素の喪失の定義はFIPS 199を、バックアップの位置づけはIPA 中小企業の情報セキュリティ対策ガイドラインを参照しました。本記事は現行のJIS Q 27000:2019の用語を用いています。対応する国際規格のISO/IEC 27000は改訂作業が進んでおり、最新の版を確認する際はISO公式を参照してください。
最初の一歩としてのチェックリスト
これから情報セキュリティを学ぶ人が、手元の情報資産を3要素で見直すための観点を挙げます。
- 守りたい情報ごとに、漏れたら困るのか(機密性)、書き換えられたら困るのか(完全性)、使えないと困るのか(可用性)を仕分けた
- 機密性を求める情報に、アクセス制御と暗号化が適用されているか確認した
- 完全性を求める情報に、改ざん検知やログによる変更の記録があるか確認した
- 可用性を求める情報に、バックアップと復旧の手順が用意されているか確認した
- 対策を強めたことで別の要素が下がっていないか(使いにくさや漏えい経路の増加)を見直した
機密性と完全性と可用性は、対策を選ぶときに「これは何を守るための対策か」を問い直す物差しになります。3つは同時に最大化できるとは限らないため、守る情報ごとに優先度を決め、足りない部分を真正性などの特性で補っていく進め方が、入門の段階では現実的です。
出典・参考
- FIPS PUB 199 Standards for Security Categorization of Federal Information and Information Systems (NIST)
- NIST SP 800-12 Rev. 1 An Introduction to Information Security (NIST CSRC)
- NIST CSRC Glossary CIA
- ISO/IEC 27000 Information security management systems Overview and vocabulary (ISO 公式)
- JIS Q 27000:2019 情報セキュリティマネジメントシステム 用語(kikakurui.com 掲載)
- IPA 中小企業の情報セキュリティ対策ガイドライン
関連する記事
暗号化USBメモリ・セキュアストレージの選び方。データ持ち出しを安全にする
USBメモリ紛失による情報漏えいを防ぐための暗号化ストレージ入門。ハードウェア暗号化USB(Kingston IronKey等)とソフトウェア暗号化(BitLocker To Go/VeraCrypt)の違い、AES-256・FIPS認証・PINパッド・自動ロックの見方を解説します。
パソコンやスマホを手放す前のデータ消去はどこまでやれば足りるのか
ごみ箱を空にしたり初期化したりするだけではデータが残る場合があります。その理由と、NIST SP800-88のClear/Purge/Destroy、HDDとSSDで方法が違う点、暗号化消去と物理破壊の効果と限界を整理し、消去ソフトやサービスの選び方をまとめます。
スキミング防止グッズは必要か
クレジットカード不正利用の被害はEC上の番号盗用が大半で、磁気カード偽造やRFIDスキミングは現状ごく少数です。統計と決済の仕組みから防止グッズの効きどころを見極め、優先すべき対策とあわせて選び方を整理します。