情報セキュリティの基本要素「CIA」を理解する

• 日程: Day 01 / セッション 02
• 時間: [9:10-9:40]
• 形式: 座学 & 実習
• ゴール: ISMSの目的と基本概念を理解し、情報セキュリティの3要素（CIA）を説明できる
• 学習形式: 対話型解説、AIブレスト

前セッションでは、ISMSが情報セキュリティを体系的に管理する「仕組み」であり、現代社会においてその重要性が増していることを学びました。では、具体的に「情報セキュリティ」とは何を、どのように守ることなのでしょうか？このセッションでは、情報セキュリティの土台となる「3つの基本要素」、通称「CIA」について深く掘り下げます。このセッションが終わる頃には、皆さんは身近な情報に潜むセキュリティリスクを、CIAの観点から説明できるようになっています。

情報セキュリティの目的は、情報資産の「機密性」「完全性」「可用性」という3つの要素をバランスよく維持することです。これらの頭文字をとって「CIA」と呼ばれます。

図：情報セキュリティの3要素（CIA）

• 機密性（Confidentiality）: 許可された者だけが情報にアクセスできる状態を保つこと。情報が漏洩しないように守る、という側面が強いです。

  • たとえ話: 重要な書類を鍵のかかった金庫に保管する、という行為は機密性を高めます。鍵がかかっていない金庫は機密性が低い状態と言えます。
  • たとえば、顧客データが不正アクセスによって外部に流出した場合、機密性が損なわれたと言えます。
  • しかし、誤ってメールを別の部署に送信してしまったが、受信者がすぐに削除し、内容を見ていないことが確認された場合は、機密性が損なわれたように見えますが、結果として情報漏洩には至らなかったため、リスクはあったものの、機密性が完全に損なわれたとは言えません（ただし、インシデント報告は必要です）。
• 完全性（Integrity）: 情報が正確であり、改ざんや破壊が行われていない状態を保つこと。情報が信頼できる状態であるか、という側面です。

  • たとえ話: 大事な契約書の内容が、知らない間に書き換えられていたとしたら、その契約書の完全性は失われています。
  • たとえば、会社のウェブサイトがサイバー攻撃によって改ざんされ、誤った情報が表示された場合、完全性が損なわれたと言えます。
  • しかし、システムのエラーで一時的にデータが不整合になったが、自動修復機能によりすぐに元に戻った場合は、完全性が一時的に損なわれたものの、回復したと言えます。
• 可用性（Availability）: 許可された者が、必要な時に情報にアクセスし、利用できる状態を保つこと。情報がいつでも使える状態であるか、という側面です。

  • たとえ話: 必要な時に銀行のATMが使えない、という状況は、可用性が失われている状態です。
  • たとえば、社内システムがサーバーダウンによって長時間停止し、業務に支障が出た場合、可用性が損なわれたと言えます。
  • しかし、メンテナンスのために計画的にシステム停止が行われ、事前にユーザーに通知されていた場合は、一時的に情報が利用できなくても、可用性が損なわれたとは言いません。

これら3つの要素は相互に関連しており、どれか一つでも損なわれると、情報セキュリティ全体が脅かされます。情報セキュリティ対策を考える際には、常にCIAの観点からバランスよくアプローチすることが重要です。

「CIA」はアメリカの諜報機関であるCentral Intelligence Agency（中央情報局）と同じ略語であるため、情報セキュリティ業界ではしばしば「本当のCIAはこちらだ！」といったジョークが交わされることがあります。この語呂合わせのおかげで、多くの人がこの3要素を覚えやすくなった、とも言えますね。

ここまでの内容で疑問があれば、AIに質問してみましょう。たとえば：

• 「機密性、完全性、可用性の優先順位は？」
• 「3つの要素が同時に損なわれる例はある？」
• 「自分の普段の業務の中で、CIAが脅かされる可能性のある具体的な状況を考えてみたい」

以下の情報セキュリティに関する具体的な事象について、情報セキュリティの3要素（機密性、完全性、可用性）のうち、どの要素が最も損なわれたかを判断し、その理由を説明してください。複数の要素が関連する場合は、最も影響が大きいと思われるものを一つ選んでください。

1. 会社のPCがウイルスに感染し、ファイルがすべて暗号化されて開けなくなった。
2. 顧客情報が保存されたUSBメモリを、電車の中で紛失してしまった。
3. 会社のウェブサイトが外部からの攻撃を受け、一時的にアクセスできなくなった。
4. 社員が間違えて、機密性の高い企画書を社外の取引先にメールで送信してしまった。
5. 業務システムに不正アクセスがあり、従業員の給与データが改ざんされていた。

• 課題1〜5の事象に対する、最も損なわれたCIAの要素と、その理由。

• 各要素の定義（許可された者だけがアクセスできるか、正確か、いつでも利用できるか）に照らし合わせて考えてみましょう。
• AIに「〇〇の事例で、CIAのどれが損なわれたかブレストしてほしい」と問いかけると、多様な視点からの意見が得られます。

本セッションでは、情報セキュリティの基本となる「機密性」「完全性」「可用性」という3つの要素（CIA）について、その定義と具体的な意味を学びました。また、身近な情報セキュリティインシデントの事例を通して、それぞれの要素がどのように脅かされるかを実践的に考えることができました。このCIAの観点は、今後の情報セキュリティ学習、そして日々の業務におけるセキュリティ意識の基盤となります。

以下の問いに答えられるか確認してみましょう：

• 情報セキュリティの3要素（CIA）をそれぞれ説明できますか？
• 「可用性が損なわれた」と言える具体的な事象の例を挙げられますか？
• あなたの業務で扱う情報資産について、機密性、完全性、可用性が脅かされるリスクを具体的に想像できますか？

答えに自信がない場合は、該当部分を読み返すか、AIに質問してみてください。

• 参考リンク: 情報セキュリティの3要素（CIA）とは？事例を交えて解説 - トライグループ (https://try-group.co.jp/securityblog/cia/)