この翻訳は不完全です。英語から この記事を翻訳 してください。

この記事では情報セキュリティの三大要素である機密性・完全性・可用性について説明します。

情報セキュリティの古典的なモデルとして機密性・完全性・可用性の3つの要素を維持することが定義されています。それぞれは異なる面の情報を守ることを目的として定められています。

機密性(Confidentiality)

機密性は権限の無い人物が情報にアクセスすることを防止することを指します。つまりは権限のある人物にのみが機密情報にアクセスできるようにするということです。例えばあなたの銀行の記録なら、あなたはもちろんその記録にアクセスできるべきですし、あなたの手続きを助けてくれる銀行員もアクセスできるべきでしょう。しかしそれ以外の人物はアクセスできないようにすべきです。機密性を損なうということは、権限の無い誰かが故意または過失によって情報にアクセスできてしまうということです。 機密性の欠如は一般には"守秘義務違反"として知られていて、基本的には被害者を救済できません。一旦秘密が漏洩してしまえば、再び秘匿することはできないのです。もしあなたの銀行の記録が公開ウェブサイトに投稿されれば、閲覧した全員にあなたの銀行アカウントや残高等を知られてしまいます。そしてその情報は全員の頭の中やコンピュータ等から完全に抹消することはできません。今日のメディアの報道するほぼすべての主なセキュリティインシデントが機密性の欠如に関わるものです。

要約すると機密性の侵害は権限の無い誰かが情報にアクセスできてしまうことを意味します。

完全性(Integrity)

完全性は情報の信憑性を確認できることを指します。つまりは情報が改ざんされておらず、情報の入手元も本物であるということです。例えばあなたがウェブサイトを立ち上げ、商品を販売しているとしましょう。攻撃者が悪意を持って商品の値段を書き換えられるとすれば、攻撃者の好きな値段で商品を買うことができてしまいます。このように書き換えを許可していないあなたの情報(この場合は値段)が改ざんされることが、完全性の欠如にあたります。もう1つの例はあなたがあるウェブサイトに接続しようとしているときに、攻撃者があなたの通信に割り込んで異なるウェブサイトへ誘導するというのも完全性の欠如です。この場合はあなたが誘導されたサイトが本物でない、ということがそれに当たります。

可用性(Availability)

可用性は認証されたユーザが情報にアクセス可能であるということを指します。つまりは認証されたユーザが情報にアクセスできない時間はない、ということです。例えばあなたが自身の銀行の記録を閲覧するために銀行サイトに訪問してみると、折悪しくサイトはメンテナンス中で記録を見られませんでした。このように認証されたユーザ(あなた)が情報(自身の銀行の記録)にアクセスできない状態が、可用性の欠如に当たります。また、可用性の侵害は攻撃者がサービス拒否(DoS)攻撃を行い、アクセス過多を起こしてサーバのリソースを使い尽くすことで起こる場合もあります。

Original Document Information

  • Author(s): Karen Scarfone, Wayne Jansen, and Miles Tracy
  • Title: NIST Special Publication 800-123, Guide to General Server Security
  • Last Updated Date: July 2008
  • Copyright Information: This document is not subject to copyright.

ドキュメントのタグと貢献者

このページの貢献者: takubokudori
最終更新者: takubokudori,