情報セキュリティマネジメント試験を勉強し始めると、最初に登場するのが「情報セキュリティの3要素」です。
これは情報セキュリティの基本中の基本であり、さまざまな問題の土台になります。
3要素は英語の頭文字を取って CIA と呼ばれています。
映画やスパイ組織のCIAではなく、「情報を守るためのCIA」と覚えておきましょう。
情報セキュリティの3要素(CIA)
情報セキュリティの3要素とは、次の3つです。
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
情報を安全に扱うためには、この3つのバランスを保つことが重要です。
機密性(Confidentiality)とは
機密性とは、
「許可された人だけが情報を利用できる状態」
のことです。
たとえば、社員の給与情報や顧客名簿が誰でも閲覧できる状態では困ります。
情報を見る権限のない人から情報を守ることが、機密性の目的です。
機密性の対策例
- IDとパスワードによる認証
- アクセス権限の設定
- 暗号化
- 入退室管理
具体例
会社の顧客データベースを、営業担当者だけが閲覧できるように設定する。
→ 機密性を守るための対策です。
完全性(Integrity)とは
完全性とは、
「情報が正確であり、勝手に変更されていない状態」
のことです。
データが改ざんされたり、誤って削除されたりすると、正しい判断ができなくなります。
完全性の対策例
- 更新履歴の管理
- 電子署名
- バックアップ
- アクセス制御
具体例
売上データが第三者によって書き換えられていないことを確認する。
→ 完全性を守るための対策です。
可用性(Availability)とは
可用性とは、
「必要なときに情報やシステムを利用できる状態」
のことです。
どれだけ安全なシステムでも、使いたいときに利用できなければ意味がありません。
可用性の対策例
- サーバの冗長化
- バックアップシステム
- 無停電電源装置(UPS)
- 障害対策
具体例
サーバ障害が発生しても予備サーバへ切り替えてサービスを継続する。
→ 可用性を守るための対策です。
試験でよく出るポイント
情報セキュリティマネジメント試験では、具体的な事例を見て「どの要素に該当するか」を問われる問題がよく出題されます。
例えば、
- パスワード設定 → 機密性
- 改ざん防止 → 完全性
- サーバ二重化 → 可用性
という形で問われます。
3要素の意味だけでなく、具体例とセットで覚えることが大切です。
確認問題
問題1
顧客情報を暗号化し、許可された人だけが閲覧できるようにした。
この対策が守ろうとしているものはどれか。
A. 機密性
B. 完全性
C. 可用性
答え
A.機密性 暗号化によって、権限のない人から情報を守るためです
問題2
売上データが勝手に書き換えられていないことを確認したい。
守るべき要素はどれか。
A. 機密性
B. 完全性
C. 可用性
答え
B.完全性 情報が正しい状態で維持されていることが重要です。
問題3
障害発生時に備えてサーバを二重化した。
守るべき要素はどれか。
A. 機密性
B. 完全性
C. 可用性
答え
C. 可用性 必要なときにサービスを利用できる状態を維持するためです。
まとめ
情報セキュリティの3要素は次のとおりです。
- 機密性=見られない
- 完全性=書き換えられない
- 可用性=使える
まずはこの3つをしっかり理解することが、情報セキュリティマネジメント試験の第一歩になります。
一言まとめ
機密性=見られない
完全性=書き換えられない
可用性=使える
コメント