CIA トライアド
CIA トライアド とは何ですか?
CIA トライアド情報セキュリティの基本モデル。目標を「機密性」「完全性」「可用性」の 3 つに集約する。
CIA トライアドは、あらゆるセキュリティ施策が両立すべき 3 つの中核目標を示します。機密性は暗号化、アクセス制御、データ分類によって、認可された者のみが情報にアクセスできる状態を維持します。完全性はハッシュ、デジタル署名、バージョン管理、書き込み禁止ストレージなどでデータやシステムを無断改変から守ります。可用性は冗長化、容量計画、DDoS 対策、災害復旧によって、必要なときに認可ユーザーがサービスとデータを利用できるようにします。
3 つの性質は互いに引っ張り合う
トライアドの価値は、トレードオフを明示的に迫る点にあります。データベースを暗号化してエアギャップ化すれば機密性は最大化しますが可用性を損なう恐れがあり、積極的なマルチリージョン複製は可用性を高める一方で機密性が漏れうる範囲を広げます。ほとんどのセキュリティ判断は、実際には資産のリスクで重み付けされた 3 者間の交渉です。
実際のインシデントから見る
- ランサムウェアは主に可用性と完全性への攻撃で(ファイルをその場で暗号化する)、ゆえにオフラインかつ改変不能なバックアップが定番の統制です。
- データ侵害(例:2017 年の Equifax による約 1 億 4,700 万件の露出)は純粋な機密性の失敗です。
- SolarWinds SUNBURST(2020)のようなサプライチェーン改ざんは完全性の失敗で、署名済みの信頼されたソフトウェアが悪意あるコードを運びました。だからこそ来歴の証明(プロビナンス)と再現可能ビルドが今日の完全性を補強します。
拡張
このモデルは意図的に不完全です。Donn Parker の Parkerian Hexad(1998)は所持/管理・真正性・有用性を加え、ISO/IEC 27001 や NIST CSF などのフレームワークは認証・認可・否認防止・プライバシーをさらに重ねます。
flowchart TD A[情報資産] --> C[機密性<br/>暗号化・アクセス制御] A --> I[完全性<br/>ハッシュ・署名] A --> V[可用性<br/>冗長化・バックアップ・DDoS 対策] C --- I I --- V V --- C C -.->|トレードオフ| V
● 例
- 01
顧客 PII の暗号化(機密性)、ソフトウェアリリースへの署名(完全性)、マルチリージョン フェイルオーバー(可用性)。
- 02
ギャップアセスメントで CIS Controls を CIA のカテゴリにマッピングする。
● よくある質問
CIA トライアド とは何ですか?
情報セキュリティの基本モデル。目標を「機密性」「完全性」「可用性」の 3 つに集約する。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
CIA トライアド とはどういう意味ですか?
情報セキュリティの基本モデル。目標を「機密性」「完全性」「可用性」の 3 つに集約する。
CIA トライアド からどのように防御しますか?
CIA トライアド に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
CIA トライアド の別名は何ですか?
一般的な別名: 機密性・完全性・可用性。