C.I.A.とは情報セキュリティの基本的な目標である秘匿性(Confidentiality)、完全性(Integrity)、可用性(Availability)の頭文字を取った言葉である。
C.I.A.とは情報セキュリティの基本的な目標である秘匿性(Confidentiality)、完全性(Integrity)、可用性(Availability)の頭文字を取った言葉である。JIS Q 27000:2014では機密性、完全性、可用性の定義は以下のようになっている。
機密性(confidentiality)
認可されていない個人、エンティティまたはプロセスに対して、情報を使用させず、また、開示しない特性。
機密性を満たすための対策としては、アクセス制御や暗号化が挙げられる。
完全性(integrity)
正確さ、および完全さの特性。
完全性を満たすための対策としては、デジタル署名が挙げられる。
可用性(availability)
認可されたエンティティが要求したときに、アクセスおよび使用が可能である特性。
可用性を満たすための対策としては、機器の冗長化や代替設備の確保が挙げられる。
機密性により認可された主体(個人やプロセスなど)と認可されていない主体とを分けることを要求し、また、認可された主体がその情報を使用できることを可用性により要求している。そして、完全性では認可された主体が得た情報が完全である、すなわち改ざんされていないことを要求している。
この3項目は、情報セキュリティに関する規格を定めたISO 27000シリーズにおいて、情報セキュリティの目的として定められているものである。
ISO 27000シリーズで使われる用語を定める、ISO 27000/JIS Q 27000「情報セキュリティマネジメントシステム-用語」において、情報セキュリティ(information security)は情報の機密性、完全性、可用性を維持することと定められている。
これらの用語の定義はISO 27000シリーズの改訂に伴い記述される場所や内容が変化しており、ISO 27001の2005年の改訂(対応する日本語版は2006年改訂)では、秘匿性、完全性、可用性に加えて、真正性、責任追跡性、否認防止、信頼性などの維持も情報セキュリティの目的と考えることもあるとされた。これは2014年改訂のISO 27000でも引き継がれている。
【2004/1/1】初版公開。
【2017/11/6】最新情報に合わせて内容を書き直しました(セキュリティ・キャンプ実施協議会 著)。
Copyright © ITmedia, Inc. All Rights Reserved.