ゼロトラストとCIA · 07日 4月 2026

ゼロトラストとCIA

ゼロトラストに色々と触れていくうちに、情報セキュリティの定義である「CIAを維持すること」がゼロトラストの考え方と本当に合っているのかという疑問が生じてきた。この疑問に答えるには、まずCIAという概念を正確に理解することから始める必要がある。本ブログはその出発点として、CIAとは何か、なぜ3つなのか、どこまで有効でどこから先は別の概念が必要なのかを整理してみる。その上で、本ブログの続編として、ゼロトラストとCIA、さらに、ゼロトラスト環境において情報セキュリティをどのように捉えるかを考察してみる。

CIAとは何か

CIAとは、情報セキュリティにおける3つの基本要素を示す概念である。まずこの3要素を正確に理解しておくことが重要である。

記号	英語	日本語	一言で言うと
C	Confidentiality	機密性	見せるべき人だけが見られる
I	Integrity	完全性	正確な内容が保たれている
A	Availability	可用性	必要なときに使える

情報システムは、この3要素が維持されることで安全かつ信頼可能とみなされる。ただし重要な前提がある。情報はそれ自体として価値を持つ。CIAはその価値が損なわれないための条件を3つの軸で整理したものであり、「CIAが整っていれば情報に価値が生まれる」のではなく、「CIAが損なわれると情報の価値が損なわれる」という関係にある。

機密性（Confidentiality）

機密性とは、許可された人だけが情報へアクセスできる状態を維持することを意味する。

代表的な対策：

認証・多要素認証（MFA）
アクセス制御（IAM）
暗号化（通信・保存データ）
最小権限の原則（PoLP：Principle of Least Privilege）

機密性が失われると：

情報漏えい・不正閲覧
認証情報の窃取
競合他社・攻撃者による悪用

機密性が問うのは「誰に見せるか」というアクセスの選択性である。ただし「正規のアクセス者が情報を目的外に使用する」という問題は機密性の範囲外である。この「目的外利用」を扱う概念は対象によって異なる。対象が個人データであればプライバシーが扱う（GDPRの「目的制限の原則」等）。対象が組織情報・営業秘密であれば守秘義務やAccountability（説明責任）が扱う。いずれの場合も、「アクセスを許可するかどうか」という機密性とは別軸の問題である。

完全性（Integrity）

完全性とは、情報やシステムが正確であり、意図せず改ざんされていない状態を維持することを意味する。

代表的な対策：

ハッシュ関数による改ざん検知
デジタル署名
変更管理・バージョン管理
監査ログ

完全性が失われると：

データ改ざん・不正送金
偽ソフトウェアの配布（サプライチェーン攻撃）
意思決定の誤り（改ざんされたデータに基づく判断）

「信頼できるシステム」において、完全性は重要な中核要素である。システムが動作していてもデータや処理結果が改ざんされていれば、そのシステムは信頼できない。

完全性が問うのは「情報が改ざんされていないか」という内容の正確性である。「誰が作ったか・送ったか」という発信者の同一性はAuthenticity（真正性）という別の観点が扱う。フィッシングメールやサプライチェーン攻撃は真正性の問題であり、完全性だけでは十分に捉えきれない。

可用性（Availability）

可用性とは、必要なときにシステムや情報を利用できる状態を維持することを意味する。「可用性」はavailabilityの訳語としてIBM系文脈で普及したとされる。日常会話では使われないが、IT・セキュリティ分野では標準的な用語として定着している。

代表的な対策：

冗長化（サーバー・ネットワーク・電源）
バックアップ・災害対策（DR）
DDoS対策
障害復旧計画（RTO・RPO の設定）

可用性が失われると：

サービス停止・業務停止
社会インフラの停止（医療・電力・交通）
ランサムウェアによる業務不能

情報自体の価値は存在しても、それを活用できなければ実質的な価値を発揮できない。そのため可用性は重要である。

可用性が問うのは「今、使えるか」という現在の状態である。「侵害後にいかに回復するか」という設計はレジリエンス（Resilience）という概念が扱う。NIST CSF 2.0はこのRecover機能を独立した柱として体系化している。

なぜCIAで「安全かつ信頼可能」が説明できるのか

情報システムへの主要な被害は、最終的に次の3種類に整理できる。

被害の種類	対応するCIA要素	具体例
漏えい	機密性（C）の侵害	個人情報流出・営業秘密の盗取・認証情報窃取
改ざん	完全性（I）の侵害	データ改ざん・不正送金・偽ソフトウェア配布
利用不能	可用性（A）の侵害	DDoS攻撃・ランサムウェア・システム障害

なぜ被害は3種類に整理できるのか。それは「情報が使われるとき、必ず3つの行為が関係する」という理解モデルとして整理できる。

情報が使われるとき、誰かが（アクセスする）・何かを（読み書きする）・いつか（使う）という3つの行為が必ず発生する。この3行為それぞれに対応する被害が「漏えい・改ざん・利用不能」であり、C・I・Aはこの3行為を保護対象とする評価軸として設計された。

さらに「攻撃者が情報システムに対してできること」を整理しても、同じ3種類に行き着く。攻撃者にできることは「見る（C侵害）・変える（I侵害）・使えなくする（A侵害）」の3種類に集約される。例えば、近年の二重恐喝型ランサムウェアでは、データ窃取（C侵害）と暗号化による利用不能化（A侵害）が組み合わされる。なりすましは正規ユーザーのアクセス権を奪う（C侵害）ことで実現する。

3つの概念が互いに還元できない独立した軸であることも重要である。機密性が保たれていても完全性は失われうる（例：暗号化された通信が改ざんされた場合や、脆弱性を突いた外部攻撃者によるデータ書き換え）。完全性が保たれていても可用性は失われうる（例：正確なデータがシステム障害やDDoS攻撃で使えない場合）。この独立性により、被害の種類を明確に特定でき、対策の方向性を誤らない。多くのセキュリティ事故はこの3軸のいずれかへの侵害として分類できる。そのためCIAは膨大な脅威を整理するための共通モデルとして広く利用されている。CIAが有用である理由は、3つの概念がそれぞれ独立していることにある。機密性はアクセスの「誰に」を問い、完全性は内容の「何が」を問い、可用性はアクセスの「いつ」を問う。この独立性により、どの軸が侵害されたかを明確に特定でき、対策の優先順位をつけやすい。

CIAの問い	侵害の特定	対策の方向性
誰に見せるか（C）	不正なアクセスがあったか	認証強化・暗号化・アクセス制御
何が正確か（I）	改ざんがあったか	ハッシュ・署名・監査ログ
いつ使えるか（A）	使えない状態になったか	冗長化・バックアップ・復旧計画

CIAはどのように形成されたか

CIAは単一の設計者・文書から生まれたのではなく、複数の文脈で独立に発展した概念が段階的に収束した。この経緯を知ることで、CIAが「情報セキュリティの唯一の真理」ではなく「当時の問題意識から収束した共通語彙」であることが分かる。

年	出来事	意義
1972	Anderson Report（米空軍）	C・I・Aの3概念が安全なシステム設計の評価軸として登場
1975	Saltzer & Schroeder論文（MIT）	C・I・Aを安全なシステム設計の基本目標として公開文献に明示
1986頃	Steve Lipner（米国防総省）	「CIA」という略語を命名。3概念がトライアドとして固まる
1988	Morrisワーム	初期インターネットに大規模な可用性障害を引き起こした代表的事例
2005	ISO/IEC 27001初版	CIAを情報セキュリティ定義の核として国際標準に採用

C・I・Aはそれぞれ独立した問題意識から別々の研究者によって生まれ、後に収束したと考えられる。設計当初は「情報セキュリティの定義」として提示されたのではなく、「安全なシステムを設計するための評価軸」として使われていた。「情報セキュリティとはCIAを維持すること」という定義は、後の標準化・教育化の過程で形成されたものと考えられる。

CIAは必要条件だが十分条件にはなりえない

情報セキュリティに「十分条件」は存在しない。脅威は常に進化し、守る対象も変化し続けるためである。CIAは当時の問題意識に対して有効な評価軸として形成されたが、時代とともにCIAの設計範囲を超えた脅威が顕在化してきた。CIAの設計範囲を超えた概念は、出所によって2つに整理できると考える。

ISO/IEC 27000:2018が明記する拡張概念

概念	意味	CIAでは捉えにくい事例
Authenticity（真正性）	情報の送信者・作成者が主張通りの存在であること	フィッシングメール自体は送信者真正性の問題として現れる。サプライチェーン攻撃（正規ルートからの侵害）
Accountability（説明責任）	誰が何をしたかを追跡・証明できること	内部不正（正規の権限で行われる不正行為の追跡・証明）
Non-repudiation（否認防止）	事象・行動の発生とその起源を証明できること。「送っていない」と後から否定できない状態	電子契約・電子署名・金融取引における否認
Reliability（信頼性）	意図した動作および結果と一致する特性。システムが設計通りに一貫して正確に動作するか	計算ロジックのバグで誤結果を一貫して返すシステム・AIの一貫した誤判断

NIST CSFが体系化した概念

概念	出所	意味	CIAでは捉えにくい事例
Resilience（レジリエンス）	NIST CSF 1.0（2014年）Recover機能	侵害後に資産と業務を回復させる能力。可用性の「維持」とは設計思想が異なる	ランサムウェア感染後の復旧・Colonial Pipeline攻撃（復旧・事業継続能力の重要性を示した代表例）
Governance（ガバナンス）	NIST CSF 2.0（2024年）Govern機能として独立	サイバーセキュリティリスク管理の戦略・ポリシー・役割を組織全体で統括する機能。経営層の関与を含む	経営層がリスクを把握せず投資判断を誤る・セキュリティと事業戦略が連動しない
Supply Chain Security	NIST CSF 2.0（2024年）で強調	第三者（ベンダー・パートナー・ソフトウェアプロバイダー）を通じたリスクの管理・検証	SolarWinds攻撃（正規のソフトウェアアップデート経由でマルウェアが混入）

これらの追加概念も、最終的にはCIAを補強・拡張するものが多い。そのためCIAは現在でも情報セキュリティの基礎概念として維持されている。

「CIAを維持している企業がなぜサイバー攻撃にさらされるのか」という問いも、この文脈で理解できる。攻撃者は認証情報を盗む（これはC侵害であり、CIAで捕捉できる）。しかし盗んだ認証情報を使って正規ユーザーになりすましてアクセスする段階では、CIAのアクセス制御をすり抜ける。これはAuthenticity（真正性：本当に正規ユーザーか）の問題であり、CIAだけでは捕捉しにくい。さらに正規のツールで横展開し、サプライチェーン経由で正規ソフトウェアに混入するといった手法も同様に、CIAの設計範囲を超えた攻撃ベクターである。CIAが評価軸として有効であっても万能ではないことを示していると言える。

まとめ

問い	答え
CIAとは何か	情報セキュリティにおける3つの基本要素（機密性・完全性・可用性）を示す概念
なぜ3つなのか	情報が使われるとき「誰が・何を・いつ」という3つの行為が必ず発生し、それぞれへの被害が「漏えい（C）・改ざん（I）・利用不能（A）」である。3つは互いに還元できない独立した評価軸
なぜCIAで「安全かつ信頼可能」が説明できるのか	膨大な脅威を3軸で整理できるため、被害の特定・対策の方向性・優先順位づけが可能になる
CIAは万能か	情報セキュリティに「十分条件」は存在しない。脅威は常に進化し、守る対象も変化し続けるため、固定した条件で「完全に安全」とは言えない。CIAはどの時代にも有効な評価軸。ISO/IEC 27000:2018はAuthenticity・Accountability・Non-repudiation・Reliabilityを追加。NIST CSF 1.0はResilience（Recover機能）を体系化。NIST CSF 2.0はGovernance・Supply Chain Securityをさらに強調
現代でも有効か	ゼロトラスト・クラウド・AI時代においても、CIAは情報セキュリティの評価軸として有効であり続ける。ただしCIAは「目的」ではなく「評価軸」として正しく位置づけることが重要

CIAとは、「情報が漏れず・改ざんされず・必要時に利用できる状態」を評価するための基本的な軸である。この3要素を整理して理解した上で改めてゼロトラストを見ると、ゼロトラストはCIAという評価軸を否定するものではない。ゼロトラストは、CIAという評価軸ではなく、CIA実現の前提として広く用いられてきた「境界防御中心の信頼モデル」を再設計する考え方である。CIAはゼロトラスト下でも有効な評価軸として機能し続ける。ただしCIAだけでは捉えきれない問題（真正性・説明責任・レジリエンス等）が現代の脅威環境では重要性を増しており、これらを補完する概念と組み合わせて用いることが求められる。CIAを正確に理解することが、ゼロトラストを含む現代のセキュリティを正しく議論するための出発点となる。

次回のブログ（続編）では、この部分をさらに掘り下げ、情報セキュリティの目的の観点で考えてみることとする。

以上