サイバーセキュリティを考えるとき、CIAを思い浮かべてください。スパイ機関のCIAではなく、違う意味のCIAです。ここで言うCIAとは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)のことです。
機密性
これら三つをまとめて「CIAの三角形」と呼びます。それでは、それぞれの概念を少し詳しく見てみましょう。まずは機密性についてです。これは、許可されたユーザーだけが特定の情報やリソースにアクセスできるようにする考え方です。例えば、このユーザー(A)が許可されたユーザーで、このデータを読みたいとします。私たちはセキュリティシステム、認証、認可、多要素認証、暗号化機能などを導入し、彼がアクセスできるようにします。
一方で、許可されていないユーザー(Z)が同じことをしようとすると、システムにアクセスしようとしてもブロックされます。これが機密性の本質です。シンプルな概念ですが、実装は非常に難しいです。
文献では機密性をプライバシーと同じように扱うことがよくありますが、これは古い考え方に基づいています。現代のプライバシーの概念は、通知や同意、忘れられる権利などを含むもっと広範なものです。
このような現代のプライバシーの要素は、厳密には機密性の概念には含まれませんが、それでも非常に重要です。これがCIAの三角形の最初の要素、機密性です。
The CIA Triad (CIAトライアド)
これら三つをまとめて「CIAの三角形」と呼びます。それでは、それぞれの概念を少し詳しく見てみましょう。
まずは機密性についてです。これは、許可されたユーザーだけが特定の情報やリソースにアクセスできるようにする考え方です。
例えば、このユーザー(A)が許可されたユーザーで、このデータを読みたいとします。私たちはセキュリティシステム、認証、認可、多要素認証、暗号化機能などを導入し、彼がアクセスできるようにします。
一方で、許可されていないユーザー(Z)が同じことをしようとすると、システムにアクセスしようとしてもブロックされます。これが機密性の本質です。シンプルな概念ですが、実装は非常に難しいです。
文献では機密性をプライバシーと同じように扱うことがよくありますが、これは古い考え方に基づいています。現代のプライバシーの概念は、通知や同意、忘れられる権利などを含むもっと広範なものです。
このような現代のプライバシーの要素は、厳密には機密性の概念には含まれませんが、それでも非常に重要です。これがCIAの三角形の最初の要素、機密性です。
完全性
次に完全性について説明します。完全性とは、例えば100個の商品を注文した場合、誰かが後でそれを10万個や100万個に変更したり、データを削除したりできないことを意味します。
つまり、情報が信頼できるものであること、正確であることを指します。
完全性技術を使うことで、改ざんを検出し、誰かに通知することができます。例えば、ハッカーがシステムに侵入した後、ログファイルを変更して自身の痕跡を消そうとすることがあります。これが完全性に対する攻撃です。
したがって、システムが正確であることを保証するためのセキュリティ機能が必要です。
可用性
最後に、可用性について説明します。可用性とは、許可されたユーザーが必要なときにリソースにアクセスできることを保証することです。
例えば、許可されたユーザーが特定のサーバーにアクセスしたい場合、期待通りにアクセスできることを意味します。
しかし、悪意のあるアクターが大量のトラフィックをシステムに送り込み、システムをダウンさせることでアクセスできなくなることがあります。これをサービス拒否攻撃(DDOS攻撃)と呼びます。サービス拒否攻撃にはさまざまな形態があります。
つまり、悪意のある人物が善意のユーザーのアクセスを妨げることです。セキュリティを考えるときは、スパイ機関のCIAではなく、CIAの三角形をチェックリストとして使いましょう。
新しいセキュリティプロジェクトを始めるときは、機密性、完全性、可用性の各要素をカバーしているかを確認します。これらすべてをカバーしていれば、仕事は完了です。
ISHAN Nim