【CISSP】CIAトライアドに関する簡易メモ

CIAトライアド

情報セキュリティの原則とされる三大要素であり、
CISSPの参考書を開くと最初に出てくる内容です。
Confidentiality(機密性),Integrity(完全性),Availability(可用性)の頭文字を組み合わせた用語で、
それぞれバランスをとる事で、適切なセキュリティレベルを提供する、という考え方です。

 

Confidentiality(機密性)

機密性については非常に奥が深く、1項では詳細な記載が難しいため簡単に…

近年のサイバーセキュリティにおいては、個人識別情報(PII)を狙った、データへの不正アクセス/盗難が大きな問題となっていますが、こうした機密情報の”Disclosure(開示)”、いわゆる情報漏洩への対処を目的とするもの。

機密性に関するキーワードとして、”データ分類(Data Classification)”と呼ばれるものがあります。
これは、組織/業界のポリシー(例えば、PCI/DSS/HIPAAなど)に応じて各データを区分するもので、
この区分に応じて、どのレベル/範囲の機密性を提供すべきかを決定するのが一般的です。

一般的な機密性の提供手段

・アクセス制御
“Least Privilege(最低特権)”という考え方に基づき、許可された(権限のある)人、プロセス、システムのみがデータへアクセス可能とする。
コンピュータ上の論理的制御に限らず、堅牢なデータセンタ/防犯・警報装置/ガードマンの配置など、物理的な制御も該当する。

・暗号化
暗号化も同様に、権限の無い人のデータへのアクセス可否を制御する。
また、データ媒体の紛失などのセキュリティインシデントへの対策としても導入される。
暗号化アルゴリズムにも様々な種類が存在しますが、そちらは別途。

 

Integrity(完全性)

データ/システムの”Alteration(変更/改ざん)”への対処を目的としたもの。
システムに保存されたデータは、ビジネス上の意思決定に必要な正確な情報として使用される必要があります。
それらの完全性(正確性)を保証するもの。

データのハッシュ値チェックによる改ざん有無の確認、”segregation of duties(職務の分離)”による結託・不正行為の軽減などが挙げられる。

Availability(可用性)

データ(資産)の”Destruction(破壊)”への対処を目的としたもの。
必要なときに情報/システムを利用できるようにする事が原則です。

可用性に影響を与えるものとして、

1.DoS(Denial of Service:サービス拒否)攻撃
2.人為的な災害によるサービスの喪失(人的ミスによるシステムクラッシュ、ハードウェア老朽化)
3.自然災害(地震、竜巻、停電、ハリケーン、火災、洪水)

などが想定され、それらの対策として、システムバックアップ、DR(Disaster Recovery)プランの策定がある。

上記は三角形で表現され、いずれかの比重を大きくすると、その他2項のサポートが低下するという関係性になります。
一般的にセキュリティと言うと、機密性に関する内容になりがちですが、
これら3つの要素を様々なシチュエーションの中で、どれに重きを置くべきかを考える力も
CISSPに求められる重要なポイントになります。

今回は以上です。

スポンサーリンク

スポンサーリンク

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA