📘 Part2 情報セキュリティの基本「CIA」と実際の情報漏えい事件
Part1では、「情報セキュリティマネジメント」や「情報資産」について学びました。
ここからは、試験でも最も頻繁に出題される「CIA(機密性・完全性・可用性)」について詳しく解説します。
試験ポイント!
情報セキュリティマネジメント試験では、「CIA」の意味や具体例が非常によく出題されます。
意味だけでなく、「どのような場面か」まで理解しておきましょう。
🔐 情報セキュリティの3要素「CIA」
情報セキュリティでは、守るべき3つの重要な考え方があります。
これらをまとめてCIAと呼びます。
C : Confidentiality(機密性)
I : Integrity(完全性)
A : Availability(可用性)
① 機密性(Confidentiality)
許可された人だけが情報を見られる状態
例えば患者さんのカルテは、誰でも見られる状態では困ります。
担当医師や看護師など、権限を持った人だけが閲覧できるように管理する必要があります。
具体例
- パスワード設定
- ICカード認証
- 指紋認証
- 顔認証
- アクセス権限管理
💡 イメージ
自宅の玄関に鍵をかけることと同じです。
鍵を持っている人だけが入れる状態=機密性です。
② 完全性(Integrity)
情報が勝手に書き換えられたり、壊されたりしないこと
カルテや契約書が知らない間に変更されていたら大問題です。
データが正しい状態で維持されていることが重要になります。
具体例
- バックアップ
- 更新履歴
- 監査ログ
- アクセス記録
💡 イメージ
銀行口座の残高が勝手に変更されないこと。
これが完全性です。
③ 可用性(Availability)
必要なときに情報を利用できる状態
電子カルテがシステム障害で使えないと、診療そのものが止まってしまいます。
必要な時にいつでも利用できる状態を維持することが重要です。
具体例
- サーバーの冗長化
- UPS(無停電電源装置)
- 災害対策
- クラウドバックアップ
💡 イメージ
24時間営業のコンビニのように、「必要な時に利用できる」状態です。
📊 CIA比較表
| 項目 | 目的 | 具体例 |
|---|---|---|
| 機密性 | 見せない | パスワード・認証 |
| 完全性 | 変えさせない | バックアップ・監査ログ |
| 可用性 | 止めない | UPS・冗長化 |
🏥 病院での具体例
| 対策 | 内容 |
|---|---|
| 職員教育 | 標的型メール訓練・パスワード教育 |
| 技術対策 | ウイルス対策・VPN・多要素認証 |
| 物理対策 | 入退室管理・監視カメラ・鍵 |
| 運用ルール | USB持ち出し禁止・アクセス権管理 |
⚠ 実際に起きた情報漏えい事件
① ベネッセ個人情報流出事件(2014年)
教育サービス企業の顧客情報が、業務委託先の関係者によって持ち出されました。
流出した情報は数千万件規模に及び、企業イメージや利用者の信頼に大きな影響を与えました。
② ランサムウェアによる医療機関への攻撃
国内の医療機関ではランサムウェアによって電子カルテが利用できなくなり、
診療の延期や救急受け入れ停止など、医療提供に大きな影響が出た事例があります。
③ KADOKAWAへのサイバー攻撃(2024年)
ランサムウェア攻撃により複数のサービスが停止。
復旧まで長期間を要し、業務への影響や情報漏えいの可能性について調査・公表が行われました。
📌 事件から学べること
- 情報漏えいは大企業だけの問題ではない
- 「人」が原因となるケースも非常に多い
- 教育不足が事故につながる
- バックアップは非常に重要
- 初動対応が企業の信頼を左右する
覚え方
「見せない=機密性」
「変えさせない=完全性」
「止めない=可用性」
この3つをセットで覚えると試験でも実務でも役立ちます。
▶ Part3では…
企業が情報セキュリティを導入するメリット・デメリット、信頼を得ることによる効果、試験によく出る重要ポイント、総まとめまでを詳しく解説します。
