CIAトライアドとは何ですか? CIA triad components,defined
CIA triadは、データを安全に保つことを目的とした組織の努力と方針を導くことができる広く使用されている情報セキュリティモデルです。 このモデルは米国とは何の関係もありません,
- 機密性:許可されたユーザーとプロセスのみがデータにアクセスまたは変更できるようにする必要があります
- 整合性:データは正しい状態で維持され、誤ってあらゆるinfosecの専門家のための心の。, しかし、トライアドとしてそれらを考慮すると、セキュリティプロは、彼らが重複し、時には互いに反対することができる方法について考えるの厳しい 私たちはこれらの原則のそれぞれについて少しでも詳細に議論しますが、最初にトライアドの起源と重要性について話しましょう。
誰がCIAトライアドを作成し、いつ?,
infosecの多くの基本的な概念とは異なり、CIAトライアドは単一の作成者または支持者を持っているようではなく、情報セキュリティプロの間で知恵の記事として時間の経過とともに浮上しました。 サイバーセキュリティ会社Dragosの副社長であるBen Miller氏は、コンピュータサイエンスにおける機密性の概念は1976年の米国で形式化されたと考えている。, 空軍の研究と完全性の考え方は、特に商用コンピューティングには、データの正確性に焦点を当てる必要がある会計記録に関する特定のニーズがあることを認識した1987年の論文でレイアウトされました。 可用性は、特定するのが難しいものですが、モリスワーム、マルウェアの最初の広範な作品の一つは、胚のインターネットのかなりの部分をオフラインでノックしたときにアイデアの周りの議論が目立つように上昇しました1988。
三つの概念が三本足の便として扱われるようになったときにも完全には明らかではありません。, しかし、1998年にDonn Parkerが著書Fighting Computer Crimeの中で、それをParkerian Hexadと呼ばれる六要素フレームワークに拡張することを提案したとき、それは基礎概念としてよく確立されているようです。 (この記事の後半でHexadに戻ります。)
このように、CIAトライアドは、情報セキュリティの専門家が彼らの仕事が二十年よりも多くのために伴うものについて考えるための方法として, コンセプトがサイバーセキュリティの伝承の一部であり、誰にも属さないという事実は、多くの人々がコンセプトを詳しく説明し、独自の解釈を実装することを奨励している。
なぜCIAのトライアドが重要なのですか?
サイバーセキュリティの基本に精通している人は、これらの三つの概念が重要である理由を理解するでしょう。 なぜかうまくいかなか思うとして三つアイデアではなく。,
市場にあるセキュリティソフトウェア、サービス、および技術の途方もない配列の意味を理解する方法として、CIAトライアドについて考えることは有益 “サイバーセキュリティ”という漠然とした”問題”にお金やコンサルタントを投げるのではなく、計画してお金を使うときに集中した質問をすることがで このサービスの完全性を保証するために当社のデータはもらえますか? 私たちのインフラストラクチャを強化することで、必要な人がデータをより容易に利用できるように,
さらに、これら三つの概念をトライアドに配置すると、多くの場合、互いに緊張して存在することが明らかになります。 データアクセスのために精巧な認証を必要とすることは、その機密性を確保するのに役立つかもしれませんが、それはまた、そのデータを見る権利を持っている一部の人々がそうすることが困難であり、したがって、可用性を低下させる可能性があることを意味することができます。, 情報セキュリティポリシーを確立するときにCIAのトライアドを念頭に置いておくと、チームは、特定のデータセットと組織全体にとって最も重要な三つの要素のどれについて生産的な決定を下すことを余儀なくされます。
CIA triadの例
CIA triadが実際にどのように機能するかを理解するために、ユーザーに銀行残高やその他の情報へのアクセスを提供できる銀行ATMの例,データへのアクセスを許可する前に、二要素認証(物理カードとPINコードの両方)を要求することによって機密性を提供します。
- ATMと銀行のソフトウェアは、マシンを介して行われた転送または引き出しがユーザーの銀行口座の会計に反映されることを保証することによって、データの整合性を強制します。
- マシンは、公共の場所にあり、銀行支店が閉じている場合でもアクセスできるため、可用性を提供します。
しかし、そこには次のようなものがあります。”だけで何よりも三原則により多くの”表面にあります。, ここでは、日常のIT環境でどのように動作するかの例を示します。
CIA triad機密性の例
一般人が”サイバーセキュリティ”と考えるものの多く—本質的に、データへのアクセスを制限するものは何でも—機密性のルーブリッ これには、infosecの二つの大きなものが含まれます:
- 認証は、システムがユーザーが誰であるかを判断することを可能にするプロセスを含みます。, これらには、パスワードおよびidを確立するために利用可能な技術の汎用性が含まれます:生体認証、セキュリティトークン、暗号鍵など。
- 誰がどのデータにアクセスする権利を持っているかを決定する承認:システムがあなたが誰であるかを知っているからといって、必ずしもあなたの 機密性を強化する最も重要な方法の一つは、データアクセスのための知る必要のあるメカニズムを確立することです。, でほとんどの運営システムの強の秘密その意味ではより多くのファイルのみアクセスによるクリエイターや管理者を備えています。
公開鍵暗号は、次の両方を強制する広範なインフラストラクチャです:暗号鍵を介してあなたが言う人であることを認証することによって、暗号化された会話に参加する権利を確立します。
機密性は、非技術的手段によっても強制することができます。, 例えば、ロックとキーの背後にハードコピーデータを保持することは、それを機密保持することができます。
機密性の喪失は、データが見てはならない人に見られることと定義されます。 マリオットハックのようなビッグデータ侵害は、機密性の喪失の主要な、知名度の高い例です。
CIA triad integrityの例
データの整合性を維持するための技術は、多くの人が異なる分野と考えるものにまたがる可能性があります。, たとえば、機密性を保護するための多くの方法では、データの整合性も強制されます。 また、ほとんどのオペレーティングシステムによって強制されるデータアクセスルールについても言及しました:場合によっては、ファイルは特定のユーザー
しかし、悪意のある攻撃者がデータを削除または変更しようとするだけでなく、データの整合性が失われる可能性がある他の方法があります。, たとえば、宇宙線との相互作用の結果として、通常のRAM内のデータに破損が浸透しますあなたが考えているよりもはるかに定期的に。 それは、スペクトルのエキゾチックな終わりにだが、記憶媒体の物理的完全性を保護するために設計された任意の技術は、データの仮想整合性を保護することができます。
整合性の侵害から防御する方法の多くは、データチェックサムなどのデータの変更を検出したり、頻繁で細心のバックアップを実行するなど、既知の, たとえば、意思決定に影響を与えるようにビジネスデータを変更したり、株式や銀行口座の価値を一時的に膨らませるために金融システムをハッキングしたり、過剰を吸い上げたりすることがあります。 データの整合性に対する攻撃のより単純で一般的な例は、ハッカーがウェブサイトのHTMLを変更して楽しい理由やイデオロギー的な理由で破壊する汚損攻撃,
CIA triad可用性の例
可用性を維持することは、サイバーセキュリティに強く関連していない部門の肩に落ちることがよくあります。 データを確実に利用できるようにする最善の方法は、すべてのシステムを稼働させ続け、予想されるネットワーク負荷を処理できるようにすることです。 これをハードウェアの更、モニタリング帯域幅利用、提供するフェイルオーバーおよび災害回復力の場合はシステムがあります。,
この原則の周りの他の技術は、トライアド内の他の二つの懸念に対して可用性のバランスをとる方法を考え出すことを含みます。 すべてのオペレーティングシステムに組み込まれたファイル権限に戻ると、特定のユーザーが読み取ることができるが編集しないファイルのアイデアは、競合するニーズのバランスをとる方法を表しています。
悪意のあるアクターに対する可用性の喪失の典型的な例は、サービス拒否攻撃です。, いくつかの点では、これはそこにcyberaggressionの最もブルートフォース行為です:あなたは”あなたの犠牲者のデータを変更しないか、あなたが持っているべきではない情報 しかし、DoS攻撃は非常に有害であり、それは可用性がトライアドに属する理由を示しています。
CIA triad implementation
CIA triadは、組織が全体的なセキュリティポリシーとフレームワークを書き、実装する際にあなたを導くべきです。, 覚えておいて、トライアドを実装することは、特定のツールを購入することの問題ではありません。 Nistのような業界標準のサイバーセキュリティフレームワーク(完全性に重点を置いている)は、CIA triadの背後にあるアイデアによって知らされていますが、それ
Beyond the triad:The Parkerian Hexad,and more
CIA triadは重要ですが、それは聖なる令状ではなく、すべてをカバーしていないと伝えるinfosecの専門家がたくさんいます。, 私たちが述べたように、1998年にDonn Parkerは、後にParkerian Hexadと呼ばれる六面モデルを提案しました。
- 機密性
- 所有または制御
- 完全性
- 信頼性
- 可用性
- ユーティリティ
余分な三つの点が本当に新しい領域に押し込まれているかどうかを疑問視することはやや開いています。所持は、例えば、入手可能性の下で集中されるかもしれません。 しかし、それは代替モデルとして注目に値します。,
CIAのトライアドにきちんと収まらない情報セキュリティの最終的な重要な原則は、否認防止であり、本質的に誰かがデータを作成、変更、観察、または送信したことを誤って否定することはできないことを意味します。 これは、例えば、誰かが署名が正確であることを証明する必要があるかもしれないとき、またはメッセージが名前がそれにある人によって送られたこと CIAのトライアドisn”tあるすべておよび終わりすべてが、それはあなたのinfosecの作戦を計画するための貴重な用具である。