情報セキュリティの3要素（CIA）

📌

CIAとは

CIAとは、情報セキュリティを支える3つの基本要素のことです。情報を安全に守るために何を守ればよいかを示した、いちばん土台になる考え方です。
・機密性（Confidentiality）：許可された人だけが見られる
・完全性（Integrity）：情報が正確で壊れていない
・可用性（Availability）：使いたいときに使える

3つの英単語の頭文字（C・I・A）を取ってCIAと呼びます。スパイ組織のCIAとは無関係で、覚えやすいように頭文字を並べただけの言葉です。上の図解で3要素が三角形のように1セットになっているのを確認してください。

身近な例で考えると、銀行の貸金庫に似ています。鍵を持つ本人だけが開けられ（機密性）、預けた中身がすり替えられず（完全性）、開けたいときに窓口が開いている（可用性）──この3つがそろって初めて安心して使えるのです。

📌

3要素の意味

3つの要素はそれぞれ「情報の何を守るのか」と「どんな対策で守るのか」が異なります。表で整理してみましょう。

機密性は「のぞき見されない」こと、完全性は「書き換えられない」こと、可用性は「止まらない」ことだと言い換えると区別しやすくなります。守りたい対象がそれぞれ違う点がポイントです。

たとえば学校の成績データで考えると、関係ない生徒に見られない（機密性）、点数が勝手に書き換えられない（完全性）、先生が確認したいときに開ける（可用性）の3つすべてが必要です。どれか1つでも欠けると問題が起きると分かります。

📌

関連性

3つの要素は互いに影響し合っており、バランスが大切です。1つの要素を強くしすぎると、別の要素が弱くなってしまうことがあります。

たとえば機密性を上げようとして二重三重のパスワードを設定すると、いざ使いたいときにログインに手間取り、可用性（使いやすさ）が下がります。逆に誰でもすぐ使えるようにすると機密性が下がります。上の図解でこのトレードオフの関係を確認してください。

そのため情報セキュリティでは、3要素のどれか1つだけを完璧にするのではなく、守りたい情報の重要度に応じて3つのバランスを取ることが目標になります。また近年は、CIAに加えて真正性・否認防止・責任追跡性・信頼性を加えた7要素で考えることもあります。

⚠️

要素を脅かす攻撃の例

CIAの3要素はそれぞれ、特定の攻撃や障害によって損なわれます。どの要素が狙われているかを把握することで、適切な対策を選べるようになります。

3要素ごとに代表的な脅威を整理するとこうなります。
・機密性を脅かす：盗聴（通信内容を盗み読む）・不正アクセス（パスワードを破ってログイン）・マルウェア（＝悪意あるプログラム）による情報窃取
・完全性を脅かす：改ざん（データを書き換える）・ランサムウェア（＝データを暗号化して身代金を要求する悪意あるプログラム）
・可用性を脅かす：DoS攻撃（＝大量のアクセスでサーバを停止させる攻撃）・DDoS攻撃（＝多数の端末から分散して行うDoS）・システム障害・自然災害

「攻撃が起きた」と聞いたとき、まず「3つのうちどれが損なわれたか？」を問いかける習慣が、セキュリティ対策を考える第一歩になります。

💡

なぜ3要素がセットで必要か

「機密性と可用性だけあれば十分では？」と思うかもしれません。しかしどれか1つでも欠けると、残り2つを守っていても情報が安全とは言えないのです。その理由を具体例で確認しましょう。

たとえば完全性（＝改ざんされていない）が欠けている場合を考えます。鍵を持つ人しかアクセスできず（機密性あり）、いつでも開けられる（可用性あり）とします。でも中のデータが誰かに書き換えられていたら、どれだけ使えても意味がありません。
・成績データが「100点」に書き換えられていても、機密性・可用性だけでは検出できない
・銀行の送金額が改ざんされても、その記録を信頼してしまう

このように、3要素は「欠けている部分」から情報セキュリティが崩れる仕組みです。3本足の椅子と同じで、1本でも折れれば倒れます。だから「CIAの3要素をすべて満たすこと」が情報セキュリティの基本とされています。

🔑

各要素を守る仕組みのなぜ

「対策の名前は知っているけど、なぜその方法で守れるのか」を整理します。各要素を守る仕組みにはそれぞれ理由があるので、なぜを押さえておきましょう。

機密性 → 暗号化で守る理由
暗号化（＝情報を決まった手順で読めない形に変換すること）をすると、正しい鍵（＝解読に必要な情報）を持つ人しか元のデータを読めません。万一、通信が盗み見られても、読み解けないので情報は守られます。

完全性 → ハッシュで守る理由
ハッシュ（＝データを一定の計算でまとめた短い値）は、データが1文字でも変わると全く違う値になります。保存時のハッシュと読み出し時のハッシュを比べるだけで、改ざんがあったかどうかを検出できます。電子署名はこのハッシュに「誰が計算したか」を証明する仕組みを加えたものです。

可用性 → 冗長化で守る理由
冗長化（＝同じ機能を持つ装置や回線を複数用意しておくこと）をすると、1台が故障しても別の1台が代わりに動き続けます。「1台に頼る」構成では、その1台が止まれば全員が使えなくなるため、予備を持つことで止まらない体制を作ります。バックアップ（＝データのコピーを別の場所に保存しておくこと）も同じ発想です。

📐

3要素から7要素へ（広がる視野）

情報セキュリティの国際規格（JIS Q 27001など）では、CIAの3要素に加えて4つの要素を足した「7要素」で情報を守る考え方もあります。まずはCIAの3つをしっかり押さえ、余裕があれば残り4つの名前と意味も知っておくと、理解がいっそう深まります。

追加4要素の意味を身近な言葉で整理するとこうなります。
・真正性（Authenticity）：通信相手や送信者が「本当に本人か」を確認できること。身分証明のようなもの。たとえばパスワードや電子証明書で本人確認する仕組みがこれにあたります
・否認防止（Non-repudiation）：後になって「そんな操作はしていない」と言い逃れできないようにすること。電子署名（＝本人しか作れないデジタルの印鑑）がその代表例
・責任追跡性（Accountability）：誰がいつどんな操作をしたかを記録しておき、後から調べられること。操作ログ（＝操作記録）がこれにあたります
・信頼性（Reliability）：システムが意図したとおりに正しく動き続けること。バグや設計ミスなく動く状態を指します

これら7要素は「守りたい性質の一覧」として、セキュリティ対策を考えるときのチェックリストにもなります。まずCIAを完全に理解したうえで、徐々に視野を広げていきましょう。