★情報セキュリティの３要素とは

Tweet  

情報セキュリティの３要素「CIA」とは？

【 情報セキュリティの３大要素 C I A 】

OECDの情報セキュリティガイドラインでは、 情報セキュリティ（Information Security）は情報の「機密性」（Confidentiality）、「完全性」（Integrity）、「可用性」（Availability） の３要素からなると定義しています。
この３大要素の頭文字をとって「CIA」といわれています。

機密性（Confidentiality）

情報へのアクセス許可のある人だけが情報を利用することができ、許可の無い者は情報の使用、閲覧が出来なくすることです。

【実装技術例】
アクセス制御、 パスワード認証、 PGPによる暗号化、
セキュリティ区画の立ち入り制限。

完全性（Integrity）

情報資産に正確性があり改竄されていないこと。

【実装技術例】
デジタル署名

可用性（Availability）

情報へのアクセス許可のある人が必要な時点で情報にアクセスできること。

【実装技術例】
システム全2重化、サーバのUPS、ハードデスクのRAID構成、
システムのクラウド化。

その他の３要素

「CIA」の３要素以外に「責任追跡性」（Accountability）、「真性性」（Authenticity）、「信頼性」（Reliability）を 加えて情報セキュリティの６要素という場合もあります。

【 情報セキュリティの６要素 】

ISO/IEC 27001(JIS Q 27001)では「CIA」の３要素が重視されています。

ISMS（情報セキュリティマネジメントシステム）を構築する際も 「情報の機密性、完全性及び可用性を維持すること」に留意する必要があります。

ＩＳＭＳでは「CIA」の３要素を実現するための管理策を、
附属書Aより選択するようになっています。 ISO27001の附属書Aとは