「このクラウド使って大丈夫?」を判断する第三者認証を解説
クマノくらげ
クマノブログ
【図解】機密性・完全性・可用性とは【IT用語】
クマノくらげ
会社でクラウドサービスを使うのに「機密性、完全性、可用性が棄損したときどの程度影響がある?」って聞かれたんだけど、なーんにもわからないんだけど?
突然、普段聞かれないこと言われても困るよね。情報セキュリティではよく出てくるから今回はそれをまとめてみようか
情報セキュリティを勉強し始めると、必ず出てくるのがこの3つです。
IPAや基本情報技術者試験でも頻出ですが、最初は言葉が硬くて覚えにくいですよね。
しかし実はこの3つはとてもシンプルです。
この記事では、
- 機密性とは何か
- 完全性とは何か
- 可用性とは何か
- それぞれの違い
- 棄損時の影響
を初心者向けに解説します。
機密性・完全性・可用性とは
この3つは、情報セキュリティの基本的な考え方です。
英語では「CIAトライアド」と呼ばれます。
じゃあ僕が言われた「棄損時の影響」っていうのは
機密性なら「情報が勝手に見られたら」
完全性なら「改竄されたら」
可用性なら「サービスが使えなくなったら」
どんな影響があるかってことだね。
機密性とは
機密性は「見てはいけない人に見せないこと」です。
機密性が高い=情報漏洩のリスクを低くする対策が強いことです。
機密性が重要なケース
知られてしまったらまずい情報(=顧客情報や新製品の情報など)が保存されていれば、機密性が重要です。
逆に知られても問題ない情報しかなければ機密性はそこまで重要ではありません。
| ケース | 内容 | 例 |
|---|---|---|
| 機密性が重要なケース | 他人に知られたらまずい情報が保存されているサービス | ネットバンキング、病院のシステム、社内システム、SNSのDM |
| 機密性が重要でないケース | 一般に公開されている情報しか保存されていないサービス | ニュースサイト、会社紹介ページ、観光案内サイト |
今回の僕の場合、社内の会議資料を保存するから、「機密性棄損時の影響」は大きそうだね。
そうなると、機密性を守るためにしっかり対策しているかを聞かれるよ。次の設定をしているか確かめてみてね。
機密性を守る方法
パスワードとか二要素認証とかは自分で設定できるけど、使おうとしているクラウドサービスは、こっちで暗号化するか設定できないみたい。暗号化しているかなあ。
会社だと細かく確認する必要があるかもね。
クラウドサービス側の設定がいい加減な可能性もあるから、クラウドサービスがISMAPやSOC2レポートを取得しているか確かめてみるのもいいかもね。企業のHPのセキュリティページやトラストセンターで確認できるよ。
完全性とは
完全性は「情報が勝手に変更されていないこと」です。
完全性が高いと「保存した情報が勝手に変更・改ざんされにくく、正しい状態を保てる」ことになります。
完全性の棄損が影響のあるケース
銀行の口座の数値が変えられちゃったらとんでもないことになるね
でも僕が今回使うクラウドサービスは、社内に原本があるから改ざんされても影響は小さいかな?
基本的に改ざんされても復旧が簡単だから、影響は小さいね。注意したいのは、改ざんされたことに気がつかないことだよ。もし、改ざんされたらアラートをあげたりする仕組みがあるか確認してね。
可用性とは
可用性は「必要なときに使えること」です。
可用性が高いとは、いつでも使える状態であることになります。
可用性についてはどうだろう?突然使えてなくなったら影響があるかい?原本は自社内に置いてあるんだよね?
最悪、メールで共有すればいいから、クラウドサービスが止まってもちょっと不便だけどそのまま使えるね。
だから僕の場合、可用性が棄損しても影響が小さいって言えるね
可用性は、どちらかというとサービス提供側だから参考程度になっちゃうけど、以下の点を注意すれば可用性が高くなるよ(サービスが止まらないようにできる)
今回の僕の場合、原本が会社にあるから、そもそもバックアップも不要だね。
まとめ
それぞれ、何が表すかはわかったけど、別のサービスを使うときまた「棄損時の影響」を聞かれたらどうしよう。
そのときはまた相談にのるよ。以下の例も参考にしてみてね。
ABOUT ME
難しいIT用語やビジネス用語を、できるだけ身近な例えで解説するブログです。
「専門用語を見ると眠くなる人」でも読めるように、画像や会話形式を多めにしています。
AWS12冠達成済み。
