あなただけにとって価値のあるデータを保護するのは簡単です。 あなただけがキーを持っている場所に離れてロックされ、暗号化された親指ドライブ上の写真やアイデアやメモを保存することができます。

しかし、企業や組織はこれに膨大な規模で対処しなければなりません。, 結局のところ、それは会社のデータです—製品、顧客と従業員の詳細、アイデア、研究、実験—それはあなたの会社を有用かつ貴重にします。 （私たちが通常考える”資産”は、ハードウェアやソフトウェアのように、単にあなたが会社のデータを扱って保存することを可能にするツールです。）

では、組織はこのデータをどのように保護していますか？ 確かに、セキュリティ戦略と技術ソリューションがありますが、一つの概念はそれらすべてを強調しています：CIAセキュリティトライアド。,

このコンセプトは、機密性、完全性、可用性の三つのコンポーネントを組み合わせて、セキュリティ対策、制御、および全体的な戦略を導くのに役立ちます。 見てみよう

（この記事は、セキュリティ&コンプライアンスガイドの一部です。 移動するには、右側のメニューを使用します。)

セキュリティにおけるCIAの定義

CIAトライアドは、情報システムの機能を表します。 お客様の情報システムの双方のおコンピュータシステムやデータです。, Atlas Cybersecurityの共同設立者である&CEOのBen Dynkin氏は、これらは攻撃される可能性のある機能であり、これらは防御する必要がある機能であると説明しています。

CIAセキュリティトライアドは、

• 機密性の三つの機能で構成されています。 システムのための正しい権限のユーザー/システム資源で、アクセス、変更、又はその他の使用データです。
• 完全性。 システムと情報が正確かつ正確であることを保証するシステムの能力。
• 可用性。, システム、情報、およびサービスがほとんどの時間利用可能であることを保証するシステムの能力。

それぞれをより詳細に見てみましょう。

機密性

非セキュリティの意味では、機密性とは何かを秘密にする能力です。 現実の世界では、私達はブラインドを掛けるか、または私達の窓にカーテンを置くかもしれ 私たちは友人に秘密を守るように頼むかもしれません。 機密保持はまた技術と演劇に入って来る。 私たち自身のプライバシーを求めるためにVpnまたは暗号化を使用する個人的な使用レベルでは、異なる方法で再生することができます。, 私たちは、常に聞いている家庭内機器をオフにすることができます。

しかし、エンタープライズセキュリティでは、権限のない人がファイルを表示、取得、および/または変更できるときに機密性が侵害されます。 あなたの会社が競争力を保護したいので機密性は重要である—あなたの会社をあなたの競争から際立たせる無形資産。

完全性

コンピュータシステムでは、完全性とは、そのシステムの結果が正確かつ事実であることを意味します。, データの世界では、それはデータの信頼性として知られています—あなたはあなたのデータ、コンピュータシステムの結果を信頼できますか？

情報システムを保護するとき、完全性は保護しようとしている機能の一つです。 悪い俳優か人為的な間違いに、故意または偶然に、あなたの計算機システムおよび結果の完全性を台無しにしたいと思わない。

可用性

可用性は、ITで広く使用されている用語です—あなたのサービスをサポートするためのリソースの可用性。 セキュリティ、可用性と人のアクセスがお客様の情報システム。, 権限アクセス権を持つユーザーが自分の専用コンピューターにアクセスできない場合、可用性はありません。

可用性は攻撃される可能性があるため、セキュリティ上の大きな問題です。 可用性に対する攻撃は、サービスの一部またはすべてへのユーザーアクセスを制限し、混乱をクリーンアップしてダウンタイムを制限するためにスクランブ

エンタープライズセキュリティのCIAトライアド

ok、私たちは概念を下に持っていますが、私たちはトライアドで何をしますか？,

その中核となるCIA triadは、オンプレミスのコンピュータシステムまたはクラウドに保存された情報を保護するために従うべきセキュリティモデル それはあなたを助けます：

• 情報の秘密（機密性）を保つ
• その情報の期待される正確な状態（整合性）を維持する
• あなたの情報とサービスが稼働していることを確認する（可用性）

それはバランスです：セキュリティチームは、原因にかかわらず、機密性、完全性、および可用性を100％保証することはできません。,

代わりに、セキュリティ専門家はCIAトライアドを使用して組織のリスクを理解し、評価します。 Dynkinは、すべての潜在的な脅威、攻撃、脆弱性をトライアドのいずれかの機能に分解することを提案しています。 たとえば、

• データ侵害は、データの機密性を攻撃します。
• ランサムウェアインシデントは、情報システムの可用性を攻撃します。

何が攻撃されているのかを理解することは、その攻撃に対する保護を構築する方法です。, ランサムウェアのケースを取る—すべてのセキュリティ専門家は、ランサムウェアを停止し 私たちがランサムウェアを広く見る傾向があるところでは、いくつかの”難解なマルウェア攻撃”として、Dynkinはそれをあなたの可用性を制限するために

これを可用性を制限する試みと考えると、”ランサムウェアを停止”しようとしているだけの場合よりも、追加の緩和手順を取ることができると彼は

トライアドは、特定のコントロールにドリルダウンするのに役立ちます。 また、戦略およびポリシーレベルでも適用されます。, Dynkinは続けています：CIAのトライアドを理解すると、セキュリティに関するあなたの見解を”特定の細部（これは依然として非常に重要です）を超えて広”

機密性、完全性、または可用性が侵害された場合の影響がどれほど深刻であるかに基づいて、保護する必要がある各項目に優先順位を付けます。 たとえば、ここでの各イベントがCIAトライアドの一部または複数を侵害する可能性があります。

• サービスの中断：攻撃者は、何か他のもののための交渉チップとしてあなたのアクセスを中断する可能性があります。,
• 傍受：攻撃者は、企業の活動について知るために電子メールをブロックまたはハイジャックする可能性があります。
• 変更または捏造：攻撃者はあなたの情報を変更または偽造する可能性があります。

いくつかの事件は、一度に二つの機能に違反することができた場合はどうなりますか？ 各セキュリティ機能を可能な限り改善するために、検討、計画、および措置を講じます。 たとえば、バックアップの冗長性は、全体的な可用性を向上させます。 いくつかのシステムの可用性が攻撃された場合、すでにバックアップの準備が整っています。,

CIA triad in action

あなたのセキュリティチームがCIA triadのためにいくつかのセキュリティを出していることを知っているでしょう：

• 管理者権限の制限
• あなた自身の未知のデバイスを使用できない
• 特定の機密性の高い会社情報にアクセスするためのVPNの使用

資産であるもの—有形のハードウェアとソフトウェア、無形の知識と才能—何らかの方法であなたのセキュリティチームによって保護されるべきです。 そして、それはセキュリティチームの仕事です：会社が価値があると考える資産を保護することです。, でないことが明らかです。

追加のセキュリティプロパティ

セキュリティプロフェッショナルが既に分かっているコンピュータセキュリティだけではありませんCIA三量. ISO-7498-2には、コンピューターセキュリティのための追加のプロパティも含まれています。

• 認証:システムが身元を確認する能力。
• 否認防止または説明責任：システム上で発生する何かの妥当性を確認するためのシステムの能力。 これは、データの起源と整合性についての保証です。,

機密性、整合性、可用性

これらの三つのコンポーネントは、任意のセキュリティ専門家のための礎石、任意のセキュリティチームの目的です。 EliteSecの創設者であるJohn Svazicは、CIAのトライアドは”実行されているあらゆる種類のセキュリティ作業のタッチポイントとして機能する”と述べています。 つまり、SecOpsの専門家が答える方法です。

私たちが積極的に行っている作業は、これらの要因の一つをどのように改善していますか？,

あなたの会社がセキュリティプログラムを構築したり、セキュリティコントロールを追加したりするときは、CIA triadを使用して、実装しているコントロールの必要性を正当化できます。 常を描くセキュリティを作り、CIAます。

だからこそ、SvazicはCIA triadを”あなたが実装しているコントロールが実際に有用で必要であることを保証するのに役立つ”有用な”尺度””と考えています。

関連する読書

• BMCセキュリティ&コンプライアンスブログ
• リスク対脅威対脆弱性：違いは何ですか？,
• あなたのための違反リカバリチェックリスト&あなたの会社
• ハッカーがあなたのメインフレームからデータを流出させるトップ8の方法
• IT資産管理:ITAMを成功させるための10のベストプラクティス