インベスト・イン・ババリア
スケッチブック
Dr. Hermann Gumpp
ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学(LMU)や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所(NII)での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。第46回 「CIAトライアド」とは?
セキュリティーにおける三つの重要事項
CIA トライアドという概念をご存じだろうか。以下の三つの頭文字から取った言葉で、誤解のないように念のため説明しておくと、米国の秘密情報機関CIAとの関係性は一切ない。
-
Confidentiality(機密性)
情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること -
Integrity(完全性)
情報が破壊、改ざんまたは消去されていない状態を確保すること -
Availability(可用性)
情報へのアクセスを認められた者が必要時に中断することなく、情報および関連資産
これら三つの事項はいわゆる情報セキュリティーに関する概念だ。実際のところ、この三つの項目を全て満たすことは困難であるといえる。そのため、その時々の適用状況に応じて優先順位を付け、順番に達成していくケースは少なくない。また、データが特定の場所(例:ハードディスク)で保管されているのか、それともデータ移転(例:インターネットを介して)を行っているのか、データ通信が盗聴あるいは遠隔操作される危険がどこに潜んでいるのかによって、優先事項は異なってくる。
CIA トライアドの実践的な考え方
例えば、ウェブ上で公開されているデータはオープンになっているという点から、ほとんど機密性がないと考えらる。したがって機密性という概念の重要性は低い。しかし、ウェブサイトは常に利用可能(可用性)で、それに加えて内容がサーバー上やそのほかの過程で遠隔操作が行われていない(完全性)ことも保証されなければならない。
もう一つ分かりやすい例として、バックアップが挙げられる。データの復元には1日数時間を要するため、ここではすぐに利用可能であるか否か(可用性)はさほど重要ではない。しかし、データが無傷であること(完全性)に注意する必要がある。なぜなら、ハードディスクは年月が経つにつれて徐々に老朽化し、データが解読不能になることも考えられるからだ。また、バックアップの内容が機密情報である場合に備え、機密性を保証するために暗号化することをおすすめする。
参考: PiedPin「CIAトライアド - サイバーセキュリティ専門家になるための総合学習サイト~」(2021年3月4日閲覧)
次回データを保存あるいは移転する際は、CIA トライアドを視野に入れて、どの要素が自身の適用状況にとって重要であるかを考えてみよう
