CIA三原則
定義
CIA三原則は、情報セキュリティのあらゆる対策が目指す3つの目標「機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)」の頭文字を束ねたフレームワークです。機密性は「許可された人だけが情報にアクセスできる状態」、完全性は「データが正確で改ざんされていない状態」、可用性は「必要なときに正当なユーザーがシステムを使える状態」をそれぞれ指します。ランサムウェアは可用性を奪い、情報漏洩は機密性を侵害し、データ改ざんは完全性を破壊する——あらゆる攻撃はいずれかの原則への脅威として位置づけられます。3つはトレードオフの関係にもあり、機密性を高めるほど正規ユーザーの手順が複雑になって可用性が下がるケースも珍しくありません。セキュリティ投資の優先順位を議論するとき、「この対策はどの原則を守るためか」を問うと議論が整理しやすくなります。
詳細解説
CIA三原則はすべてのセキュリティ対策の目標を定義する枠組みです。リスク評価では「どの原則への脅威か」を軸に優先度を判断します。現代では説明責任(Accountability)や真正性(Authenticity)を加えた拡張版も使われます。
ポイント
- 機密性:暗号化・アクセス制御・最小権限の原則で実現する
- 完全性:ハッシュ関数・デジタル署名・バージョン管理で実現する
- 可用性:冗長化・バックアップ・DDoS対策・SLAで実現する
- 3つのバランスが重要 — 機密性を高めすぎると可用性が低下することがある
関連用語
よくある質問
CIA三原則とは?
情報セキュリティの3つの基本要素。機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の頭文字を取ったもの。すべてのセキュリティ対策はこの三原則を守るために行われる。
CIA三原則について詳しく知るには?
CIA三原則はすべてのセキュリティ対策の目標を定義する枠組みです。リスク評価では「どの原則への脅威か」を軸に優先度を判断します。現代では説明責任(Accountability)や真正性(Authenticity)を加えた拡張版も使われます。
CIA三原則のポイントは?
機密性:暗号化・アクセス制御・最小権限の原則で実現する 完全性:ハッシュ関数・デジタル署名・バージョン管理で実現する 可用性:冗長化・バックアップ・DDoS対策・SLAで実現する 3つのバランスが重要 — 機密性を高めすぎると可用性が低下することがある
同じカテゴリの用語(基礎概念)
ユーザー、端末、リソース、場所、時刻などの属性を条件にしてアクセス可否を判断する方式。…
誰が、いつ、何にアクセスし、どの操作を行ったかを追跡するための監査用ログ。…
侵害や障害が起きたときに影響が広がる範囲。権限、ネットワーク、データ連携、依存関係で変わる。…
ブラウザ拡張機能が閲覧データ、タブ、サイト、Cookie、ストレージなどへアクセスするために要求する権限。…
インシデント対応中に関係者が連絡、判断、報告を行うためのチャット、電話、会議、チケットなどの連絡経路。…
情報を公開、社内限定、機密、重要機密などの区分に分け、扱い方や保護レベルを決めること。…