// シス担のミカタ
セキュリティの基本概念

CIA三原則 しーあいえーさんげんそく

機密性完全性可用性情報セキュリティリスク管理ISMS
CIA三原則について教えて

簡単に言うとこんな感じ!

情報セキュリティの「守るべき3つの約束」だよ!「見せちゃダメな人には見せない(機密性)」「こっそり書き換えさせない(完全性)」「必要なときにちゃんと使える(可用性)」の3つで、これ全部守れて初めて「安全」って言えるんだ!

CIA三原則とは

情報セキュリティの世界で、守るべき最も基本的な3つの性質をまとめたものが CIA三原則 です。Confidentiality(機密性)・Integrity(完全性)・Availability(可用性) の頭文字を取ってCIAと呼びます。米国の情報機関CIAとは別物なので注意!

この3つはバランスが大切で、どれか1つが欠けても「本当に安全なシステム」とは言えません。たとえば「絶対に漏れないけど、必要なときに誰も使えない」システムは可用性が失われており、業務が止まってしまいます。逆に「いつでも誰でも使えるけど、内容が勝手に書き換えられる」のは完全性・機密性の欠如です。

CIA三原則は、システムの設計・発注・評価・監査のあらゆる場面で「何を守るべきか」を整理する共通言語として使われており、国際規格 ISO/IEC 27001(情報セキュリティマネジメントシステム)の根幹にも据えられています。

3つの原則を理解する

原則英語意味崩れると…身近な例
機密性Confidentiality許可された人だけが情報にアクセスできる情報漏えい・不正閲覧社員以外が給与データを見られない
完全性Integrity情報が正確・完全な状態に保たれるデータ改ざん・破損注文内容が勝手に書き換えられない
可用性Availability必要なときに情報・システムを使えるサービス停止・障害ECサイトがいつでも注文できる

語呂合わせで覚えよう

C → 「見せない」(Confidential=秘密)
I → 「変えさせない」(Integrity=誠実・完全)
A → 「使えるようにする」(Available=利用可能)

3文字でも「機・完・可(き・かん・か)」と声に出すと覚えやすいです!

原則が崩れた時の典型的な脅威

脅威の例関係する原則
不正アクセス・情報漏えい機密性(C)
マルウェアによるデータ改ざん完全性(I)
DDoS攻撃によるサービス停止可用性(A)
ランサムウェア(身代金型ウイルス)完全性+可用性(I+A)
内部不正(社員による持ち出し)機密性(C)

歴史と背景

  • 1970年代〜 セキュリティ研究者たちが「情報を守るとはどういうことか」を体系化し始める
  • 1977年 米国NISTの前身組織が機密性・完全性・可用性を情報保護の柱として整理
  • 1991年 OECD(経済協力開発機構)がセキュリティガイドラインを発表し、3原則が国際的に広まる
  • 1995年 英国で情報セキュリティ管理規格 BS7799 が制定。CIAが規格の核に
  • 2005年 BS7799 を元に ISO/IEC 27001 が発行。ISMS(情報セキュリティマネジメントシステム)の国際標準となる
  • 現在 クラウド・IoT・AIの普及で攻撃の手口が多様化しており、CIA三原則は変わらず出発点であり続けている

3原則の関係とトレードオフ

3つの原則は時に トレードオフ(片方を強化するともう一方が弱まる) の関係になります。

CIA三原則のトレードオフ関係 機密性 Confidentiality 完全性 Integrity 可用性 Availability アクセス制限を 強めると使いにくく 使いやすくすると 改ざんリスクも増える バックアップ強化は 両方に貢献する

たとえば 「アクセス制限を厳しくすること(機密性↑)」は「いつでも使えること(可用性↓)」と競合 しやすく、設計時にバランスが必要です。発注側も「セキュリティを高めれば多少使いにくくなる」という前提を持っておくとよいでしょう。

CIAに追加される概念

実務では3原則に加えて以下が使われることもあります:

追加概念意味
真正性(Authenticity)情報や人物が本物であること(なりすまし防止)
責任追跡性(Accountability)誰が何をしたか記録が残ること(ログ管理)
否認防止(Non-repudiation)「やっていない」と言い逃れできない証拠性
信頼性(Reliability)システムが期待どおりに動き続けること

関連する規格・RFC

規格番号内容
ISO/IEC 27001ISMS(情報セキュリティマネジメントシステム)の国際規格。CIA三原則を中核に据える
RFC 4949インターネットセキュリティ用語集(Confidentiality・Integrity・Availabilityの定義を含む)

関連用語

  • ISMS — ISO/IEC 27001 に基づく情報セキュリティマネジメントシステム。CIA三原則を運用レベルで実現する仕組み
  • リスクアセスメント — 情報資産に対する脅威・脆弱性を評価するプロセス。CIAのどの原則が脅かされるかを分析する
  • アクセス制御 — 機密性(C)を守るための代表的な手段。誰が何にアクセスできるかを管理する
  • バックアップ — 可用性(A)と完全性(I)を守るためのデータ複製・保管の仕組み
  • DDoS攻撃 — 大量のリクエストでシステムを停止させる攻撃。可用性(A)を直接狙う
  • ランサムウェア — データを暗号化して身代金を要求するマルウェア。完全性と可用性を同時に破壊する
  • ISO/IEC 27001 — 情報セキュリティの国際認証規格。CIA三原則を組織レベルで実装・審査する枠組み
  • 暗号化 — 機密性(C)を技術的に担保する代表手段。通信や保存データを読めない形に変換する