CIA三原則の再定義と基盤
前回のレッスンで学んだCIA三原則(Confidentiality・Integrity・Availability)は、過去から現在に至るまで、すべてのセキュリティアーキテクチャ設計の「北極星」です。クラウドシフトやリモートワークが当たり前になった現代においても、この三原則が揺らぐことはありません。ただし、それを守る手法は大きく進化しています。
本レッスンでは、各原則が侵害された際の「ビジネスへの現実的な打撃」と、それを防ぐための「現代的な実装手段」を具体的に掘り下げます。インシデントレスポンスの現場では、「今何が侵害されているのか」をCIAの軸で整理することが、対応の優先順位を決める第一歩です。
1. 機密性(Confidentiality)
**機密性**とは、権限のある正当な主体(人やシステム)だけがデータにアクセスでき、それ以外の者にはデータを見せない状態を厳密に維持することです。
「知る必要のある者だけが知る」——この原則が崩れた瞬間、組織は取り返しのつかないダメージを被ります。
侵害によるビジネス上の打撃
- 個人情報・機密情報の漏洩: 顧客の個人情報(PII)やクレジットカード情報の流出は、多額の損害賠償とブランド失墜を招きます。GDPRや個人情報保護法の規制も重なり、法的制裁まで波及します。
- 知的財産の流出: ソースコード、未発表の製品設計、M&A情報などが競合他社や国家支援型ハッカー(APT)に渡った場合、競争優位が一夜にして失われます。
- クレデンシャルの暴露: GitHubやS3バケットの設定ミスによりAWSアクセスキーが公開されると、数分以内に自動スキャンツールが発見して悪用を開始します。巨額のインフラ課金とデータ破壊が現実となります。
現代における実装戦略
| 実装レイヤー | 具体的な手段 |
|---|---|
| データレイヤー | AES-256等の強固なアルゴリズムによる「保存データ(Data at Rest)」の暗号化。および「利用中データ(Data in Use)」を守るコンフィデンシャル・コンピューティング。 |
| アクセス制御 | 従来型の境界防御ではなく、最小権限の原則とRBAC(ロールベースアクセス制御)を用いたセグメンテーション。 |
| アイデンティティ | パスワードレス認証(FIDO2 / パスキー)や、強固なMFA(多要素認証)によるなりすましの排除。 |
| ガバナンス | データの機密性アセスメント。Public/Internal/Confidential/Restricted などの4〜5段階のデータ分類(Data Classification)とDLP(情報漏洩防止)ツールの適用。 |
「すべてのデータを最高レベルで守る」ことはコスト的に不可能です。最初にやるべきことは、組織が持つ情報資産の「棚卸し」と「分類(ラベリング)」です。守るべき資産の価値を明確にして初めて、適切な重みの機密性対策が設計できます。まず分類、次に保護——この順序が肝心です。
2. 完全性(Integrity)
**完全性**とは、システムやデータが正確であり、権限を持たない者(あるいは悪意のあるプロセス)によって不正に改ざん・改変・破壊されていないことを数学的・論理的に保証することです。
機密性の侵害は「見られた」という問題ですが、完全性の侵害は「信頼できるものが信頼できなくなる」という、ある意味でより深刻な問題です。
侵害によるビジネス上の打撃
- 業務データの破壊: 財務記録の不正更新による決算報告の虚偽化、医療カルテの改ざんによる投薬ミスは、人命に関わる重大インシデントに発展します。
- サプライチェーン攻撃: SolarWinds事件やXZ Utilsバックドア事件のように、正規ソフトウェアのビルドパイプラインに悪意のあるコードを静かに混入されます。ユーザーは「正規のアップデート」を受け取ったつもりで、マルウェアをインストールします。
- トランザクションの改ざん: 中間者攻撃(MitM)による送金先口座の書き換えは、振り込んだ後に気づく最悪のパターンです。
現代における実装戦略
- ハッシュ関数(SHA-256/SHA-3): データの「指紋(フィンガープリント)」を取得し、ダウンロードしたファイルやパッチが1ビットも改変されていないかを検証します。ファイルの内容が1文字でも変われば、ハッシュ値は全く異なる値になります(雪崩効果)。
- デジタル署名と証明書: 公開鍵暗号基盤(PKI)を用い、「正しい送信元から送られてきたか(真正性)」と「途中で改ざんされていないか(完全性)」を同時に証明します。
- 改ざん検知ログ(Tamper-evident Logging): WORM(Write Once Read Many)ストレージに監査ログを即時転送することで、攻撃者が侵入後に自分の痕跡(ログ)を消去できない状態を作ります。ログの完全性は、インシデント調査の根拠となります。
バックアップは主に「可用性」を担保するためのものですが、高度なランサムウェアは「バックアップデータそのもの」を狙って暗号化・改ざんします。バックアップの完全性を守るためには、ネットワークから切り離されたオフライン保管(イミュータブルバックアップ)が不可欠です。「バックアップがある」という安心感が、最大の落とし穴になります。
3. 可用性(Availability)
**可用性**とは、権限のあるユーザーやシステムが、必要なときに遅延や障害なく期待通りに情報資産を利用できる状態のことです。
攻撃者の立場から見ると、機密情報を盗むよりも「サービスを止める」ほうが、場合によっては組織へのダメージが大きいことがあります。特に、金融・医療・インフラ系の組織にとっては死活問題です。
侵害によるビジネス上の打撃
- 大規模な機会損失: EコマースサイトへのDDoS攻撃でサービスがダウンすると、秒単位で売上が失われます。ブラックフライデーのような繁忙期を狙った攻撃は、一日で数億円規模の損害になります。
- 事業の完全停止: ランサムウェアによる社内システムの全台暗号化、あるいは2024年のCrowdStrikeアップデート障害のように、グローバル規模で航空・金融・医療システムが麻痺した事例は、単一の依存点がいかに危険かを示しています。
可用性を評価するビジネス指標
技術的な対策(ロードバランサー、冗長化、CDN)を実装する前に、ビジネス側と以下の指標(SLA)をあらかじめ合意しておくことが必要です。この合意なしに対策を講じても、「どこまでやれば十分か」の基準がなく、投資判断ができません。
| 指標 | 意味合いとセキュリティでの適用 |
|---|---|
| SLA(ダウンタイム許容) | 例: 99.99%(フォー・ナイン)= 年間ダウンタイム許容時間は約52分。 |
| RPO(Recovery Point Objective) | 「どの過去の時点のデータまで復旧できれば許容できるか」。バックアップの取得頻度(毎時間か毎日か)を決定する指標。 |
| RTO(Recovery Time Objective) | 「システムが停止してから、何時間以内に復旧させる業務要件か」。DR(ディザスタリカバリ)サイト構築の予算と設計を決定する指標。 |
三原則のジレンマと「CIAAN」への進化
トレードオフの調整
CIA三原則は相互にシーソーのような関係にあります。一つを極端に高めると、他が損なわれるジレンマが発生します。
| 実装シナリオ | 強化される原則 | 損なわれやすい原則・対応策 |
|---|---|---|
| データを最高レベルの暗号アルゴリズムと多重鍵で保護 | 機密性 (C) が極大化 | 処理負荷による遅延や、鍵紛失リスクによる 可用性 (A) の低下。ハードウェアアクセラレータや堅牢な鍵管理(KMS)で対応。 |
| マルチクラウドかつ多拠点でリアルタイム同期システムを構築 | 可用性 (A) が極大化 | データやアクセス経路が分散することによる 機密性 (C) リスクの増大。Zero Trust Network Access (ZTNA) による全拠点の厳格な通信制御で対応。 |
| ユーザーの利便性を下げる極めて複雑なアクセス制御 | 機密性 (C) / 完全性 (I) | 手順の煩雑さにより、ユーザーが抜け道(シャドーIT)を使い始め、システム全体の 可用性 (A) や 機密性 (C) が崩壊。SSOの導入でUXを改善。 |
現代の拡張概念:CIAAN
現代の情報セキュリティでは、CIAにさらに2つの要素を加えたCIAANとしてセキュリティ要件を定義するアプローチが標準になりつつあります。特に法的・コンプライアンス要件が厳しい業界では、この2要素が決定的な意味を持ちます。
- 真正性(Authenticity): そのデータやトランザクションの作成者が、間違いなく「本人」であることを保証する特性。なりすましや偽装を防ぐ基盤です。
- 否認防止性(Non-repudiation): 事後になって「私は送信していない」「そんな操作はしていない」と主張(否認)できないように、暗号学的な証拠を残す特性。改ざん不可能なアクセスログや、デジタル署名済みの電子契約がその実装例です。電子商取引や金融取引において、この特性がなければ法的な効力を持ちません。
【確認問題】高度なランサムウェア攻撃によって「データベースが暗号化されて読み込めなくなり(①)、犯人によって『身代金を払わなければデータを公開する』と脅迫されている(②)」状態です。この時、CIA三原則のうち、主に侵害されている原則の組み合わせとして最も適切なものはどれですか?