DE129:セキュリティの3要素（機密性・可用性・完全性）データサイエンティスト検定（リテラシーレベル）補習ノート】

データサイエンティスト検定（リテラシーレベル）の公式リファレンスブックで躓いたところをまとめていきます。

DE129ではセキュリティの3要素（いわゆるCIA）について、具体的な事例を用いて説明できることが求められています。しかし、テキストには具体的な事例が出ていません。幸いなことにITパスポート試験でもよく出てきますので、ITパスポート試験の過去問から事例を拾ってみます。

機密性（Confidentiality）

JIS Q27000では「認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性」と定義されています。許可された人だけが情報を見れるようにするということですね。

機密性が低下した例

暗号化して送信した電子メールが第三者に盗聴された
ネットワークを流れるデータが盗聴された
PCがウイルスに感染し知らないうちにPC内の情報が流出した
サーバに不正侵入されて個人情報が盗まれた
ファイルの読込み権限の設定を誤ったことによって権限のない利用者にも公開された

機密性を向上させる対策例

データを暗号化する
システムの利用開始時にユーザ認証を求める
データを外部媒体に保存するときは暗号化する
ファイルに読出し用パスワードを設定する
生体認証を採用する
アクセス制御を行う

完全性（Integrity）

JIS Q27000では「正確さ及び完全さの特性」と定義されています。正確で完全であること、改ざんされていないことを保証するということですね。

完全性が低下した例

オペレータが誤ってデータ入力し顧客名簿に矛盾が生じた
ウィルスによりファイルが破壊された
Webページが改ざんされた
ファイルの中の取引データの金額を誤って更新した
プログラムのバグによってデータが誤って更新された

完全性を向上させる対策例

データにディジタル署名を付与する（ハッシュ関数と関連）
情報の改ざんを防止する対策を施す
データの入力者以外の者が入力されたデータの正しさをチェックする
タイムスタンプをデータに付与する

可用性（Availability）

JIS Q27000では「認可されたエンティティが要求したときに、アクセスおよび使用が可能である特性」と定義されています。いつでも利用可能にしておくということですね。
ただし可用性を高めようとすると機密性が低下するという相反する関係にあるため、注意が必要です。

可用性が低下した例

ショッピングサイトがシステム障害で一時的に利用できなかった
ウィルスの駆除のため業務システムが一時使えなくなった
空調の故障で温度が上がりサーバが停止した
通信ケーブルを誤って切断した
停電によってシステムが停止した

可用性を向上させる例

ハードウェアを二重化する
負荷分散装置（ロードバランサー）を導入する
サーバをデュプレックスシステムで構成して運用する
システムをホットスタンバイにする
データを処理するシステムに予備電源を増設する

参考資料

最短突破 データサイエンティスト検定（リテラシーレベル）公式リファレンスブック