本文へスキップ
スキルアップカレッジ

情報セキュリティとは何か——CIA トライアドと「守るべきもの」

レッスン1:情報セキュリティとは何か——CIA トライアドと「守るべきもの」

このレッスンで学ぶこと

  • 情報セキュリティの定義を CIA トライアドで捉えられる
  • 機密性完全性・可用性の意味と、現場で起きる典型例を区別できる
  • 情報資産という考え方で「守るべきもの」を整理する
  • なぜ全社員に情報セキュリティが必要なのかを理解する
  • 本コースの守備範囲と扱わない範囲を把握する

「情報セキュリティ」という言葉を、皆さんもニュースで耳にする機会が増えたと思います。一方で、現場で働く立場では「ファイアウォール?暗号化?難しい技術の話ね」「うちの IT 部門に任せておけばよい」と感じている方も多いはずです。本コースの出発点として、まず情報セキュリティが何を守るための営みなのかを、技術用語を抜きに整理します。

情報セキュリティの定義

情報セキュリティ(information security)は、情報資産を、機密性・完全性・可用性の 3 つの観点で守る活動の総称です。

技術的な仕組みだけを指すのではなく、組織のルール作り、社員教育、運用、監査、インシデント対応など、人と組織と技術を横断する営みです。

「サイバーセキュリティ」との違い

「サイバーセキュリティ」という言葉も、よく聞かれます。両者はほぼ重なって使われますが、厳密には次のような違いがあります。

  • 情報セキュリティ:情報資産全般(紙の書類、口頭での会話なども含む)を守る広い概念
  • サイバーセキュリティ:コンピュータ・ネットワーク・データなどデジタル領域の防御に焦点

本コースは「情報セキュリティ」という広い枠組みで進めますが、現場でデジタルが中心の時代ですので、内容はサイバーセキュリティと重なる部分が大半です。

💡 ポイント 「セキュリティ=難しい技術」と捉えると、自分には関係ない話に感じます。実際は「情報を守ること」全般の話で、紙の書類を引き出しにしまうのも、口外しないと約束するのも、情報セキュリティの一部です。技術はその中の一部分にすぎません。

CIA トライアド——3 つの観点

情報セキュリティを整理する古典的なフレームワークが、CIA トライアドです。

flowchart TD
  S[情報資産] --> C[機密性<br/>Confidentiality]
  S --> I[完全性<br/>Integrity]
  S --> A[可用性<br/>Availability]
観点 英語 意味
機密性 Confidentiality 権限のない人に情報が漏れないこと
完全性 Integrity 情報が正確で、改ざんされていないこと
可用性 Availability 必要なときに情報やシステムが使えること

3 つの頭文字(C・I・A)から「CIA トライアド」と呼ばれます。情報セキュリティを学ぶときには、必ず最初に登場する基本中の基本です。

機密性(Confidentiality)

機密性とは、「権限のない人に情報が見られない・漏れない」ことです。

  • 例:顧客名簿が外部に流出した → 機密性の侵害
  • 例:社員給与のリストが部署外に共有された → 機密性の侵害
  • 例:個人情報を誤って TO で全送信した → 機密性の侵害

機密性を守る仕組みには、認証(パスワード、MFA)、アクセス制御(権限管理)、暗号化、物理的な施錠などがあります。

完全性(Integrity)

完全性とは、「情報が正確で、改ざんされていない」ことです。

  • 例:請求書の金額が外部から書き換えられた → 完全性の侵害
  • 例:契約書の重要な数字を社内の誰かが密かに修正した → 完全性の侵害
  • 例:マルウェアでデータベースの一部が壊された → 完全性の侵害

完全性を守る仕組みには、ハッシュ値(改ざん検知)、デジタル署名、バージョン管理、ログ監査などがあります。

可用性(Availability)

可用性とは、「必要なときに情報やシステムが使える」ことです。

  • 例:ランサムウェアでファイルが暗号化され業務が止まった → 可用性の侵害
  • 例:DDoS 攻撃でサーバーがダウンした → 可用性の侵害
  • 例:停電でシステムが使えなくなった → 可用性の侵害

可用性を守る仕組みには、バックアップ、冗長化、災害対策、稼働監視などがあります。

📝 補足 機密性・完全性・可用性は、しばしばトレードオフになります。例えば機密性を強くするためにアクセス制御を厳しくしすぎると、可用性が下がる(必要な人が使えない)ことがあります。バランスを取ることがセキュリティ設計の中核です。

情報資産とは何か

CIA トライアドが守る対象が「情報資産」です。情報資産とは、組織にとって価値がある情報や、情報を扱う仕組みすべてを指します。

情報資産の例

  • 顧客情報:顧客名、連絡先、購買履歴、契約情報
  • 社員情報:人事データ、給与、評価、健康情報
  • 技術情報:ソースコード、設計書、特許情報、ノウハウ
  • 業務情報:契約書、見積書、財務データ、内部資料
  • システム:サーバー、データベース、業務システム、ネットワーク
  • 物理資産:PC、スマートフォン、USB メモリ、紙の書類

「情報そのもの」だけでなく、「情報を扱うシステム」「情報を保存する媒体」も含めて情報資産と呼びます。

守るべきものを認識する

情報セキュリティの第一歩は、「自分の組織や自分の業務で、何が情報資産なのか」を認識することです。守るべきものが見えていなければ、適切に守れません。

💡 ポイント 「うちの会社にそんな大事な情報はない」と感じる人も多いかもしれません。しかし、顧客リスト 1 件、新製品の発売前情報、社員の連絡先、いずれも漏れれば組織と個人に影響が出る情報です。「価値がない情報」はほとんど存在しません。

なぜ全社員に必要か

情報セキュリティと聞くと、「IT 部門の仕事」「セキュリティ部門の責任」と思われがちです。実際の現場では、これが大きな誤解です。

インシデントの大半は「現場」で始まる

セキュリティインシデント(事故)の発生源を調べると、

  • フィッシングメールに社員が騙されてパスワードを入力
  • USB メモリを紛失(中身は顧客情報)
  • 公衆 Wi-Fi で機密文書を閲覧して通信が傍受される
  • パスワードを付箋に貼って共有していた
  • 退職者のアカウントが削除されず不正利用された
  • ファイル共有の設定を間違えて社外公開してしまった

これらの大半は、特定の専門部署で起きるのではなく、ごく普通の社員の業務の中で起きています。

「最弱の輪」が組織を守るかどうかを決める

セキュリティの世界には「最弱の輪(weakest link)」という考え方があります。鎖の強度は、最も弱い輪で決まる、というメタファーです。組織全体の防御の強さは、最も弱い社員 1 人のリテラシーで決まる、ということです。

技術的な仕組みをどれだけ整えても、1 人の社員が騙されてパスワードを入力すれば、組織全体が侵害されます。だからこそ、全社員のセキュリティリテラシーが、組織のセキュリティの基盤になります。

⚠️ 注意 「最弱の輪」は社員を責めるための言葉ではありません。「全員がそれぞれの持ち場で気をつける」ことの重要性を表す比喩です。誰かを犯人にする発想ではなく、組織全体で支え合う発想で受け止めてください。

本コースの守備範囲

最後に、本コースで扱う範囲と扱わない範囲を整理しておきます。

扱う範囲

  • 情報セキュリティの全体像と CIA トライアド(本レッスン)
  • リスク・脅威・脆弱性、攻撃者の動機(レッスン 2)
  • 認証と認可:パスワード・MFA・SSO・パスキー(レッスン 3)
  • マルウェア・フィッシング・BEC(レッスン 4)
  • 暗号化・VPN・公衆 Wi-Fi・ゼロトラスト概要(レッスン 5)
  • 個人情報保護法・データ分類・バックアップ・廃棄(レッスン 6)
  • インシデント対応の基本(レッスン 7)
  • テレワーク・SaaS・BYOD・生成 AI・サプライチェーン(レッスン 8)

扱わない範囲

  • 専門的な暗号アルゴリズムの数式(別の専門書を参照)
  • 特定セキュリティ製品の操作手順(公式ドキュメントを参照)
  • ペネトレーションテストの実技(別の専門書・研修を参照)
  • ハッキング技術の詳細(攻撃側の知識は本コースの目的ではない)
  • 「IT パスポート」「情報処理安全確保支援士」など試験対策の網羅性

スタンス

本コースは、情報セキュリティを「特別な技術の話」ではなく「働く一人ひとりが日々の業務で意識する基本リテラシー」として扱います。同時に、「うちは大丈夫」「全部 IT 部門に任せる」という発想とも、「セキュリティのためには業務効率を犠牲にして当然」という発想とも距離を置きます。リスクを正しく認識し、バランスの取れた行動を取る判断軸を、現場の感覚も交えて持ち帰っていただくのが目的です。

講師の現場メモ:「夜中に呼び出された 1 件目のインシデント」

私(関口)が大手電機メーカーの CSIRT に配属されて 3 か月目の話です。土曜日の深夜 1 時、当番だった私の携帯電話が鳴りました。

「製造拠点の業務システムが応答しなくなりました。情シスでは原因が特定できません」

製造部門の管理者からの第一報でした。私はリモートで状況を確認し、すぐに「これはランサムウェアです」と判断しました。社内のファイルサーバー数台が暗号化され、月曜の生産再開ができない状況でした。

その夜から月曜の朝までの 30 時間、私はほかの CSIRT メンバーと一緒に対応にあたりました。

  • 感染源の特定(経由したのは、ある社員が金曜夜に開いた取引先からの添付ファイルでした)
  • 感染範囲の隔離(ネットワークを物理的に切り離す)
  • バックアップからの復元(幸い、前日のバックアップが無事でした)
  • 経営層への報告(土曜朝に役員臨時会議)
  • 顧客への影響評価(製造遅延の説明を月曜朝に開始)

月曜の夕方、生産ラインが復活しました。被害は数千万円規模、しかし、もしバックアップが無事でなかったら、被害は数億〜数十億円規模に膨らんでいた可能性がありました。

このインシデントで私が痛感したのは、

  • 攻撃の入り口は「ごく普通の社員のメール開封」だった(悪意のあるエンジニアの仕業ではない)
  • 感染拡大を止めたのは、CSIRT の技術知識ではなく、ネットワーク管理者の冷静な切り離し判断
  • バックアップという「地味な日常運用」が組織を救った
  • 報告が早かったから、被害を最小化できた

「情報セキュリティは技術の話」と思っていた私の感覚が、このとき大きく変わりました。技術は必要です。けれど、それ以上に、全社員一人ひとりの気づきと報告、地味な日常運用、ふだんからの準備が、現実のインシデントでは効きます。本コースで「全社員のリテラシー」「気づきと報告」を繰り返し強調するのは、この夜の記憶があるからです。

まとめ

このレッスンでは、以下のことを学びました。

  • 情報セキュリティは、情報資産を機密性・完全性・可用性の 3 つの観点で守る活動の総称
  • CIA トライアド:Confidentiality(機密性)・Integrity(完全性)・Availability(可用性)
  • 機密性は「漏らさない」、完全性は「改ざんさせない」、可用性は「使えるようにする」
  • 情報資産には情報そのものだけでなく、情報を扱うシステム・媒体も含む
  • インシデントの大半は現場で起きるため、全社員のリテラシーが組織のセキュリティの基盤
  • 「最弱の輪」は誰かを犯人にする発想ではなく、全員で支え合う発想の比喩
  • 本コースは「特別な技術の話」ではなく「日々の業務で意識する基本リテラシー」として扱う

次のレッスンでは、リスク・脅威・脆弱性の違いと、攻撃者の動機を整理して、自分や組織のリスクを構造化する発想を学びます。

確認クイズ

このレッスンの理解度をチェックしましょう。