完全なる情報セキュリテイのためには、情報の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の3要素を維持しなければなりません。3性質の英語頭文字をとって、「情報のCIA」と称することもあります。
情報セキュリティの目的は、情報の生成から消滅までその処理および流通される過程、「情報ライフサイクル」全般にわたって機密性、完全性、可用性を確保することです。今回の3分ITキーワードでは、各要素である機密性、完全性、可用性のより詳しい意味について紹介したいと思います。
機密性(Confidentiality)とは、使用許可を得た人のみが当情報へのアクセス権利を持つ性質です。最も一般的なセキュリティの概念であって、対象へのアクセス権限、即ち、鍵を分け合うという点でロックと類似していると考えると、情報の機密性の性質を理解しやすいです。一般的なセキュリティの概念のため、セキュリティ装置の中では機密性に集中されたものが最も多いです。代表的な例が私たちがよく使うパスワードです。家のパスワードを他人に露出されないように注意することも、情報の機密性を守る行動の1つです。
完全性(Integrity)とは、上に述べた機密性の装置が持つアクセス権限の適切なものかどうかについて、その完全性と正確性を保障する性質です。例えば、公認認証書は個人が持っているアクセス権限、つまり、機密性を意味する鍵であります。この鍵が適切であることを確認してくれるのは、鍵の認証過程に介入して適切な認証書かどうかを検証・管理する認証機関です。このような認証システム自体が情報の完全性を維持するための装置であります。
最後に可用性(Availability)とはある情報が複数のセキュリテイ措置で十重二十重にガードされているとしても、いつでも必要な時にはアクセスできる性質です。情報使用即お金である今、情報の可用性を毀損しようとする脅威があれば、可用性を守ろうとする努力が必須でしょう。ちなみに、可用性の反対概念は「Denial of Service(DoS)」で、システム使用者が自分が必要とする資源を使用できない状態を意味します。いつどこでも使用者が情報を利用することができるようにすることを意味する情報の可用性とは異なていますね。
出典
- パック・ジフン(2015) 『ITセキュリテイの定石』毎日経済新聞社