コバヤシクエストLv6② 〜セキュリティ三大原則〜

2025.05.23

前回の記事では、「フィッシング」「ゼロデイ攻撃」「標的型攻撃」など、さまざまなサイバー攻撃の手口を紹介しました。
それらの攻撃は、私たちの身の回りでも十分に起こりうる現実的な脅威です。

では、そうした攻撃にどう備えればよいのでしょうか?
その答えの一つが、セキュリティの三大原則「CIA」を理解し、守ることにあります。

本記事では、ITパスポート試験でも出題され得る「CIA」の意味と、それぞれの考え方を具体例とともに解説してまいります。

CIAとは

「CIA」とは、情報セキュリティにおける基本原則を示すもので、3つの英単語の頭文字を取ったものです。
それぞれ、Confidentiality(機密性)、Integrity(完全性)、Availability(可用性)を表しています。

機密性とは、情報を見せてよい人にだけ見せ、見せてはいけない人には見せないという考え方です。
完全性とは、情報が正確な状態に保たれており、誰かに勝手に変更されないようにすることを意味します。
可用性とは、必要なときに、必要な人が情報にすぐアクセスできる状態を保つことを指します。

項目英語意味
CConfidentiality(機密性)見せてはいけない人に見せないこと
IIntegrity(完全性)内容を勝手に変えさせないこと
AAvailability(可用性)必要なときにすぐ使えること
CIA

これらの3つの原則は、個別に重要なのはもちろんですが、実際にはバランスよく整えることが大切です。
それぞれの原則を詳しく見ていきましょう。

Confidentiality:機密性

機密性とは、情報を適切に守り、許可された人だけがアクセスできるようにする考え方です。

日常生活での例としては、LINEのトークや写真が他人に勝手に見られてしまったら、不快ですしプライバシーの侵害になります。
また、オンラインショッピングで入力したクレジットカード情報が外部に漏れていたとしたら、金銭的な被害にもつながりかねません。

こうした事態を防ぐためには、適切なパスワードを設定したり、生体認証のような個人固有の認証手段を取り入れることが有効です。
また、ファイルや通信を暗号化して、たとえ盗み見されても中身を読み取られないようにしたり、アクセスできる人を細かく制御することも大切です。

ITパスポート試験では、「情報にアクセスできる人を限定する」「暗号化する」「不正アクセスを防ぐ」といった文脈に注意をしましょう。

Integrity:完全性

完全性とは、情報が正しく保たれており、改ざんや破損がない状態を意味します。
もし、重要な書類や数値データが勝手に書き換えられてしまったら、業務の信頼性は大きく損なわれてしまいます。

例えば、もし銀行の残高表示システムにバグがあり、あなたの口座の100万円が「10円」と表示されていたり、実際に取引も制限されたりしたら、生活に直結しますよね。
また、RPGゲームのセーブデータが壊れていて、ラスボス直前だったのに、いきなり「はじめから」状態になっていたら…悲劇です。
二度とそのゲームをしないかもしれませんね。
このセーブデータの破損も、まさに完全性の喪失の一例です。

こうした完全性を保つためには、情報が変更されないようにする仕組みと、情報が変更されていないことを確認できる仕組みが必要です。
代表的なものとして、ファイルの内容から生成されるハッシュ値を使って改ざんの有無をチェックする方法があります。
また、電子署名を活用すれば、文書が正しく作成者から送られたもので途中で書き換えられていないことを証明できます。
そのほか、ログを残して誰がいつ、どのように変更したのかを追跡できるようにすることや、ファイルのバージョンを管理して復元できる体制を整えることも効果的です。

ITパスポート試験では、「情報の正確性」「改ざんの検出」「電子署名」などのワードに絡めた出題が考えられます。

Availability:可用性

可用性とは、必要なときに、必要な情報やシステムにきちんとアクセスできる状態を保つことを指します。
どれだけ正確で秘密が守られた情報であっても、肝心なときに使えなければ意味がありません。

たとえば、銀行のATMが長時間停止してお金が引き出せない、ECサイトがセール中にサーバーダウンして商品が買えない、災害対策サイトが災害時にアクセスできない…
これらはすべて可用性が失われた状態です。

可用性を保つためには、まずバックアップの取得が不可欠です。万一のトラブル時にすぐにデータを復元できる体制が求められます。
また、サーバーを複数台用意して冗長構成にすることで、一方が止まってももう一方で対応できるようにするのも有効です。
前回紹介したDDoS攻撃のように、過剰なアクセスによってサービスが停止してしまう事態に備えて、WAF(Web Application Firewall)などでアクセス制御を行うのも対策の一つです。

ITパスポート試験では、「バックアップ」「冗長性」「障害への備え」といった言葉の登場が考えられます。
止まらない仕組みを作ることが可用性の本質と覚えておきましょう。

CIAのバランス

この3つの原則は、どれも単独では不十分で、バランスが重要です。

たとえば、利便性を優先して誰でもすぐにアクセスできるようにすると、機密性や完全性のリスクが高まってしまいます。
一方で機密性を強化するために複雑なパスワードを導入しすぎると、正当なユーザーでさえアクセスしづらくなり、可用性を損なう恐れがあります。
コバヤシは難しいパスワードを設定してド忘れした経験があります。

現実のシステム設計や運用では、この三者のトレードオフを考えながら、どのような対策を講じるかを判断していく必要があります。

ここまでセキュリティの三大原則「CIA」を見てまいりました。
前回紹介した攻撃例と照らし合わせれば、フィッシングは機密性を狙ったもの、ゼロデイ攻撃は完全性の破壊、DDoS攻撃は可用性を奪うものだとわかります。

CIAの考え方を理解しておくことは、どのような攻撃にどう対応すべきかを見抜く土台になります。
ITパスポート試験でも、単語の意味だけでなく、どの攻撃や状況がどの原則に関わっているかを回答することが求められます。

次回の記事では、こうしたCIAを守るために使われる「認証方式」「暗号化技術」などの具体的な技術や仕組みについて、さらに詳しく解説していく予定です。
本日もご覧いただきありがとうございました。

小林大洸/ITコンサルタント

この記事の執筆者

小林大洸/ITコンサルタント

保有資格:AWS認定 SAA,CLF,ITパスポート/技術と経営をつなぐ視点で、中小企業やスタートアップのクラウド導入・業務改善を支援。 ITの話を「わかりやすく」伝えることを大切にしています。

タイトルとURLをコピーしました