この記事では情報セキュリティの三大要素である機密性・完全性・可用性について説明します。
情報セキュリティの古典的なモデルとして機密性・完全性・可用性の3つの要素を維持することが定義されています。それぞれは異なる面の情報を守ることを目的として定められています。
機密性
機密性は、権限の無い人物が情報にアクセスすることを防止することを指します。つまりは権限のある人物にのみが機密情報にアクセスできるようにするということです。例えばあなたの銀行の記録なら、あなたはもちろんその記録にアクセスできるべきですし、あなたの手続きを助けてくれる銀行員もアクセスできるべきでしょう。しかしそれ以外の人物はアクセスできないようにすべきです。機密性を損なうということは、権限の無い誰かが故意または過失によって情報にアクセスできてしまうということです。機密性の欠如は一般には"守秘義務違反"として知られていて、基本的には被害者を救済できません。一旦秘密が漏洩してしまえば、再び秘匿することはできないのです。もしあなたの銀行の記録が公開ウェブサイトに投稿されれば、閲覧した全員にあなたの銀行アカウントや残高等を知られてしまいます。そしてその情報は全員の頭の中やコンピュータ等から完全に抹消することはできません。今日のメディアの報道するほぼすべての主なセキュリティインシデントが機密性の欠如に関わるものです。
要約すると、機密性の侵害は権限の無い誰かが情報にアクセスできてしまうことを意味します。
完全性
完全性は情報の信憑性を確認できることを指します。つまりは情報が改ざんされておらず、情報の入手元も本物であるということです。例えばあなたがウェブサイトを立ち上げ、商品を販売しているとしましょう。攻撃者が悪意を持って商品の値段を書き換えられるとすれば、攻撃者の好きな値段で商品を買うことができてしまいます。このように書き換えを許可していないあなたの情報(この場合は値段)が改ざんされることが、完全性の欠如にあたります。もう1つの例はあなたがあるウェブサイトに接続しようとしているときに、攻撃者があなたの通信に割り込んで異なるウェブサイトへ誘導するというのも完全性の欠如です。この場合はあなたが誘導されたサイトが本物でない、ということがそれに当たります。
可用性
可用性は、認証されたユーザが情報にアクセス可能であるということを指します。
原典情報
- 著者: Karen Scarfone, Wayne Jansen, and Miles Tracy
- 題名: NIST Special Publication 800-123, Guide to General Server Security
- 最終更新: July 2008
- 著作権情報: This document is not subject to copyright.