なぜ今このテーマを取り上げるか
「CIAってアメリカの諜報機関ですよね?」——セキュリティ研修の場でよく聞かれる一言です。情報セキュリティの世界では、CIAトライアド1(Confidentiality・Integrity・Availabilityの頭文字)は半世紀以上前から使われてきた基本概念です。しかし、クラウドや生成AIが業務に入り込んだ現代において、この三原則の「重み」や「危うくなる場面」は大きく変わってきました。今回はゼロから丁寧に整理します。
基本:3行でわかるCIA
- 機密性(Confidentiality): 見てよい人だけが情報を見られる状態を保つこと。
- 完全性(Integrity): 情報が正確で、許可なく書き換えられていない状態を保つこと。
- 可用性(Availability): 必要なときに必要な人が情報やシステムを使える状態を保つこと。
三つをそろえて初めて「安全」と言えます。一つでも欠ければ、組織にとってのリスクになります。
もう少し詳しく
機密性(Confidentiality)
「秘密を守る」と言い換えると分かりやすいです。アクセス制御(誰がどのデータを読めるかのルール)、暗号化、多要素認証2(パスワード+スマートフォンの認証コードなど、複数の方法で本人確認すること)がここに当たります。
クラウド時代の落とし穴は「設定ミスによる意図せぬ公開」です。2020年代に相次いだクラウドストレージの誤公開事故は、ほぼすべてがアクセス権限の設定漏れが原因でした。
完全性(Integrity)
「改ざんされていない」を保証することです。ハッシュ値(データの”指紋”にあたる固定長の文字列)やデジタル署名(電子的な印鑑)がその手段です。
現代ではAIが生成した文書やログがシステム内に混入することも増えています。「誰が・いつ・何を書いたか」を追跡できる監査ログの整備は、完全性管理の要になります。
可用性(Availability)
「使いたいときに使えない」状態を防ぐことです。自然災害やサイバー攻撃(特にDDoS攻撃3=大量のアクセスでサーバーをパンクさせる攻撃)がここへの脅威です。
クラウド移行後は「クラウド事業者がダウンしたら?」という問いが現実のリスクになります。マルチクラウド構成(複数のクラウドを組み合わせて使うこと)やバックアップ設計が担当者の腕の見せ所です。
もしホワイトボードに書くなら
三角形を描いて、各頂点に「機密性」「完全性」「可用性」を配置してみてください。真ん中には「守りたい情報資産」を置きます。三頂点のどれかを失うと、三角形が崩れて資産が無防備になるイメージです。これがCIAトライアドと呼ばれる理由です。
企業実務への落とし込み
担当者が今日から意識できることを三つ挙げます。
1. 棚卸しから始める: 社内のデータやシステムを一覧化し、「どれが機密性・完全性・可用性のどれを最も必要とするか」を仕分けします。顧客情報なら機密性最優先、会計システムなら完全性最優先、販売サイトなら可用性最優先、という具合です。
2. リスクを言語化する: 「〇〇が漏れたら(機密性)」「〇〇が書き換えられたら(完全性)」「〇〇が止まったら(可用性)」という三つの問いを会議の冒頭に置くだけで、議論の質が変わります。
3. トレードオフを意識する: セキュリティを強くすると使い勝手が落ちることがあります(例:多要素認証を必須にすると業務開始が遅れる場面がある)。どの原則を優先するかを経営層と合意しておくことが大切です。
よくある誤解
- 「CIAさえ守ればセキュリティは完璧」: CIAは目標の枠組みです。具体的な対策は別途、NISTサイバーセキュリティフレームワーク4(米国国立標準技術研究所が公開する実務レベルのセキュリティ管理指針)などで補う必要があります。
- 「可用性はインフラ部門の話」: 業務アプリが停止したときに業務を継続できる手順(紙への切り替え、代替システムの準備)を持つのは、情シス・セキュリティ担当者の責任範囲です。
- 「機密性=暗号化だけ」: 暗号化はあくまで一手段です。適切なアクセス権限の設計、退職者アカウントの即時削除、画面ロックの徹底なども機密性確保の重要な柱です。
一枚要約
- 何が起きているか: CIAトライアド(機密性・完全性・可用性)は半世紀の基本概念だが、クラウドと生成AIの普及で各原則が脅かされる場面が大きく変化している。
- 自社への影響: 主要情報資産ごとに「どの原則を優先するか」が定義できていないと、対策投資の優先順位が場当たり的になり、稟議や役員報告で説明できなくなる。
- 打つべき手: 直近の主要システム5本にCIA重み付けを施した一覧表を作成し、経営層と「優先順位」を合意することから始めるのが現実的といえます。
今日着手できる3アクション
- 主要システム5本のCIA優先度マップを1枚にまとめる: 顧客DB→C最優先、会計システム→I最優先、販売サイト→A最優先、のように仕分けし、経営層レビュー用の1ページ資料を作成します。
- 直近3ヶ月の社内インシデントをCIA軸で再分類する: チケット管理システム(
Jira・ServiceNow等)から障害・インシデントを抽出し、「破られた原則」で分類します。対策投資の偏りが可視化されます。 - ISO/IEC 27001のリスクアセスメント様式を入手して試行する: IPA公式サイト(https://www.ipa.go.jp/security/)から関連手引きを参照し、上位5資産にCIA重み付けを試します。フォーマット定着まで2〜3回繰り返す前提で進めると形骸化を防げます。
AI×セキュリティの観点
生成AIの普及はCIAの3原則すべてに影響します。攻撃面では、AIが生成した文書・ログが社内に混入することで「誰が・何を書いたか」の証跡が曖昧になり、完全性の確保が一段難しくなります。防御面では、機密性侵害の予兆検知(設定ミスの自動発見、異常アクセスのリアルタイム検出)にAIが活用され、SOCの初動対応が高速化しています。AI事業者ガイドラインでは「人間による説明可能性の確保」が要件化されており、CIAの再定義はAIガバナンス整備と連動して進める必要があるテーマといえます。
用語ミニ解説
- CIAトライアド — Confidentiality(機密性)・Integrity(完全性)・Availability(可用性)の頭文字。情報セキュリティの目標を整理する最も基本的な枠組みで、ISO/IEC 27000シリーズや各国規制の根幹に位置する。 ↩
- 多要素認証(MFA) — パスワードに加えてスマートフォンの認証コードや生体情報など、複数要素を組み合わせて本人確認する仕組み。機密性確保の基本対策。 ↩
- DDoS攻撃 — 大量のアクセスを集中させてサーバーをパンクさせる攻撃。可用性に対する代表的な脅威で、近年はAIによる自動化で攻撃量が増加傾向にある。 ↩
- NIST CSF(サイバーセキュリティフレームワーク) — 米国国立標準技術研究所が公開する実務指針。識別・防御・検知・対応・復旧の5機能で構成され、2024年に2.0版が公開された。 ↩
- BCP/DR — 事業継続計画(Business Continuity Plan)と災害復旧(Disaster Recovery)の略。可用性を組織全体で担保するための計画手法で、IT部門だけでなく経営層・業務部門が連携する必要がある。 ↩
コメント