機密性・完全性・可用性

情報セキュリティの基本とされているものに、機密性・完全性・可用性の維持があります。それぞれの頭文字をとって 情報セキュリティのCIAともいいます。

• 機密性 Confidentiality
• 完全性 Integrity
• 可用性 Availability

このページでは、機密性・完全性・可用性の意味を具体的な事例を交えて解説しています。

機密性とは 以下のようなことを指します。

• 許可された者のみデータ・情報にアクセスできるようにすること。アクセス権の無い者にアクセスさせない、第三者に情報を漏洩させないこと。

機密性に関連する項目には 以下のような例が考えられます。

• セキュリティ対策ソフト
• ファイアーウォール
• ID・パスワードの設定
• 強固なパスワードの設定（特にWebサービス）
• 2段階認証（多要素認証）
• 暗号化
• HTTPS（ホームページ）
• アクセス制御（アクセス権）
• 入退室管理
• ゼロフィル（HDDの廃棄時）
• シュレッダー

情報セキュリティにおいて、情報や情報資産というのはデジタルデータやデジタル機器に限定されるものではなく、メモ書きなどの紙や印刷された用紙なども含まれます。

例えば、IDやパスワードなどをメモした紙、顧客データが印刷されている用紙なども適切な処理を行われなければ、第三者など本来 情報にアクセスできない人が見るということもあります。その意味でシュレッダーというのも一例としてあげています。

完全性とは 以下のようなことを指します。

• データ・情報が完全であること。データが破損したり、改ざんされたりしていないこと。

完全性に関連する項目には 以下のような例が考えられます。

• セキュリティ対策ソフト
• ファイアーウォール
• バックアップ
• デジタル著名
• Webセキュリティ（ホームページ）
• Webページの更新（ホームページ）

Webセキュリティでは、主にプログラミングやデータベースなどを用いて構築されているWebサイトが該当します。特にSQLインジェクションやクロスサイトスクリプティングという脆弱性に対する修正や対策が代表的です。

Webページの更新というのは、ホームページを保有・運用している企業や事業所、組織に該当します。

更新が行われていないWebページでは、しばしば古い情報が掲載されており情報が完全ではないということがあります。例えば、価格が5,000円の物が 4,500円と表示されていたり、商品の画像が古い型番のもので色やデザインが異なるなど。

完全性は、破損や改ざんされていないことが主となりますが、情報の完全性という観点からいえば、Webページに古い情報などが掲載されていることは当てはまるといえます。

可用性とは 以下のようなことを指します。

• 必要なときに必要なデータ・情報が使える、取り出せること。停電や落雷などの自然災害でも コンピューターやシステムが停止することなく使えること。

可用性に関連する項目には 以下のような例が考えられます。

• セキュリティ対策ソフト
• ファイアーウォール
• バックアップ
• データの管理
• クラウドコンピューティング
• Webページのユーザビリティ（ホームページ）
• 情報機器のメンテナンス
• RAID
• UPS

データの管理というのは、必要なときにデータをすぐに取り出して使用できるということです。パソコンやサーバーなどにデータが整理されていない状態でおかれている場合、データを取り出す際に時間や手間がかかったりすることもあります。これは可用性を損なっているということができます。

セキュリティ対策ソフトとファイアーウォールというのは、CIAを維持するための基本的な対策になります。

マルウェアは、様々な種類があり その挙動や影響も多岐にわたります。

機密情報をとるウイルスやスパイウェア、PC内のデータを破壊するウイルス、PC内のデータを暗号化し業務を停止させることもあるランサムウェアなど。またマルウェアが不正アクセスのきっかけを作り、機密情報の漏洩などもあります。

セキュリティ対策ソフトやファイアーウォールは、マルウェアや不正アクセスへの対策となり、機密性・完全性・可用性の維持になるといえます。