対象試験と出題頻度
情報セキュリティの3要素(CIA)は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで出題されるテーマです。
セキュリティ分野の最も基礎的な概念であり、「3要素の名称と意味」「どの脅威がどの要素を損なうか」「各要素を守る対策は何か」が繰り返し問われています。
令和6年度 ITパスポート 問75、令和元年度 応用情報 午前 問40など、直接的な出題実績が複数あり、今後も出続けることが確実です。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(超重要)絶対に覚える必要あり
用語の定義
情報セキュリティの3要素(CIA)とは、一言で言うと
「情報の機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)を維持すること」
です。JIS Q 27000:2019(ISO/IEC 27000)では、情報セキュリティそのものがこの3つの特性を維持することと定義されています。3つの頭文字を取って「CIA」と呼びます。
イメージとしては、「大事な書類が入った金庫の管理」を思い浮かべてください。
機密性は「金庫の鍵を持っている人だけが中身を見られる」こと。完全性は「金庫の中の書類が誰にも改ざんされず、正しいまま保たれている」こと。可用性は「鍵を持っている人が金庫を開けたいとき、いつでも開けられる」こと。この3つのうちどれか1つでも崩れると、情報は安全とは言えません。
📊 情報セキュリティの3要素(CIA)の基本情報
| 項目 | 内容 |
|---|---|
| 正式な定義元 | JIS Q 27000:2019(ISO/IEC 27000) |
| 機密性 | Confidentiality ― 許可された者だけが情報にアクセスできる特性 |
| 完全性 | Integrity ― 情報が正確かつ完全で、改ざん・破壊されていない特性 |
| 可用性 | Availability ― 必要なときにシステムや情報を利用できる特性 |
| CIAの由来 | Confidentiality・Integrity・Availabilityの頭文字 |
解説
情報セキュリティの3要素が重要とされる背景には、「守るべき情報の価値が爆発的に増えた」という現実があります。
「企業が扱う顧客データ」「個人のマイナンバー」・「オンラインバンキングの残高情報」これらはすべて「漏れてはいけない」「書き換えられてはいけない」「使えなくなっては困る」ものです。
3要素は、この”守り方の観点”を漏れなく整理するためのフレームワークとして生まれました。
各要素を脅かす攻撃と守る対策
3要素それぞれに「どんな攻撃で損なわれるか」「どんな対策で守るか」が対応しています。この対応関係の理解が、知識問題を解くカギになります。
📊 各要素に対する脅威と対策の例
| 要素 | 脅かす攻撃・事象 | 守るための対策 |
|---|---|---|
| 機密性 | 不正アクセス、盗聴、情報漏えい、データの不正コピー | アクセス制御、暗号化、認証の強化 |
| 完全性 | Webページの改ざん、データの破壊、入力ミスによる不正確なデータ | デジタル署名、ハッシュ関数、改ざん検知 |
| 可用性 | DDoS攻撃、システム障害、自然災害によるサーバーダウン | ディスクの二重化(ミラーリング)、冗長構成、バックアップ |
たとえば、DDoS攻撃でWebサイトがダウンした場合、ユーザーが必要なときにサービスを利用できなくなるため「可用性」が損なわれます。
一方、PCがマルウェアに感染して個人情報が外部に送信された場合は「機密性」の問題です。このように「何が起きたら、どの要素が崩れるか」をセットで把握することが重要です。
3要素のバランスという考え方
3つの要素は、どれか1つだけを強化すればいいというものではありません。むしろ、要素同士がトレードオフの関係になることがあります。
たとえば、機密性を最優先にして厳格すぎるアクセス制限をかけると、正規の利用者までシステムを使いにくくなり可用性が下がります。
逆に、可用性を重視して誰でもいつでもアクセスできるようにすると、今度は機密性が危うくなります。実務でも試験でも、3要素をバランスよく維持するという視点が求められます。
CIAに加わる4つの拡張要素
JIS Q 27000:2019では、3要素に加えて「真正性(Authenticity)」 「責任追跡性(Accountability)」 「否認防止(Non-repudiation)」 「信頼性(Reliability)」 の4つの特性を維持することを含める場合があると注記されています。これら4つを加えた7要素を問う出題も存在します。
ただし、ITパスポートや基本情報レベルでは3要素(CIA)の理解が最優先です。拡張要素は深追い不要で、名前だけ知っておけば十分です。
では、この3要素が試験でどのように出題されるか見ていきましょう。
💡 CIAの核心を3行で
・機密性=許可された人だけがアクセスできる状態を保つこと
・完全性=情報が正確で改ざんされていない状態を保つこと
・可用性=必要なときにいつでもシステムや情報を使える状態を保つこと
📌 試験対策のポイント
3要素の「定義」だけでなく、「ある事象がどの要素を脅かすか」「ある対策がどの要素を守るか」の組み合わせまで即答できる状態を目指してください。ここまで押さえれば得点源にできます。
試験ではこう出る!
CIAは、セキュリティ分野の基礎知識としてほぼ毎回出題される超頻出テーマです。出題パターンは大きく3つに分かれます。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| ITパスポート R6 問75 |
3要素と対策(アクセス制御・デジタル署名・ディスクの二重化)の正しい組み合わせを選ぶ問題。 | ・各要素と具体的対策の対応関係 |
| ITパスポート R4 問72 |
DDoS攻撃・入力ミス・マルウェア感染の3つのインシデントが、それぞれどの要素を損なうかを選ぶ問題。 | ・脅威と要素の対応関係 |
| 応用情報 R1秋 午前 問40 |
JIS Q 27000:2019の定義に基づき、3要素のうち残り1つを選ぶ問題。 | ・3要素の名称の正確な暗記 ・紛らわしい選択肢(効率性・保守性・有効性)との区別 |
| 情報セキュリティ マネジメント H28秋 問21 |
「完全性を脅かす攻撃」として適切なものを選ぶ問題。 | ・Webページの改ざん=完全性 ・不正コピー・盗聴=機密性 ・DoS攻撃=可用性 |
| 基本情報 H26春 午前 問39 |
上記と同じ「完全性を脅かす攻撃」を選ぶ問題。情報セキュリティマネジメントH28秋 問21と同一内容。 | ・試験区分をまたいで同一問題が再出題される典型例 |
出題パターンを整理すると、パターン1は「3要素の名称を答えさせる」もので、「機密性と完全性ともう1つは?」という形式です。選択肢に「効率性」「保守性」「有効性」など紛らわしいものが混じります。パターン2は「脅威→要素の対応」を問うもので、「この攻撃はどの要素を損なうか」という形式。パターン3は「要素→対策の対応」を問うもので、「アクセス制御は何を守る対策か」という形式です。
【頻出キーワード】
- 機密性(Confidentiality)=アクセス制御・暗号化
- 完全性(Integrity)=改ざん検知・デジタル署名・ハッシュ関数
- 可用性(Availability)=冗長化・ミラーリング・バックアップ
- JIS Q 27000:2019の定義文
特にひっかけとして多いのは、「可用性の確保」と「機密性の確保」の取り違えです。
ITパスポート R1秋 問97では「可用性を確保することは、利用者が不用意に情報漏えいをしてしまうリスクを下げられる」という選択肢が不正解として出されました。
可用性は「使えること」の話であり「漏えい防止」は機密性の領域です。このように要素の定義を正確に覚えていないと選択肢の罠にはまります。
📝 IPA試験での出題パターン
ITパスポートでは「要素×対策」「要素×脅威」の組み合わせ問題が定番です。
基本情報・応用情報では、JIS Q 27000の定義を根拠に問う形式も登場します。情報セキュリティマネジメント試験では午後(科目B)のケーススタディで「この事例はCIAのどれに該当するか」を判断させる問題が出ます。いずれの試験区分でも、3要素の名称と英語名をセットで覚えておくのが鉄則です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 情報セキュリティの3要素(CIA)のうち、「情報が正確かつ完全で、改ざんや破壊がされていない状態を維持する特性」を指すものはどれでしょうか?
- A. 機密性(Confidentiality)
- B. 完全性(Integrity)
- C. 可用性(Availability)
正解と解説を見る
正解:B
解説:
完全性(Integrity)は、情報が正確で改ざんや破壊がされていない状態を維持する特性です。Webページの改ざんやデータの不正な書き換えは、この完全性を損なう代表的な脅威にあたります。デジタル署名やハッシュ関数は、完全性を守るための代表的な対策です。
選択肢Aの機密性(Confidentiality)は「許可された者だけが情報にアクセスできる」という特性であり、不正アクセスや情報漏えいを防ぐことに焦点があります。問題文の「改ざんされていない」という記述とは対象が異なります。選択肢Cの可用性(Availability)は「必要なときにシステムや情報を利用できる」特性で、DDoS攻撃やシステム障害による利用停止が脅威です。「情報の正確さ」とは別の観点です。
よくある質問(FAQ)
Q. 「CIA」と「CIAトライアド」は同じ意味ですか?
同じものを指しています。英語圏では「CIA Triad(CIAの三位一体)」と呼ばれることが多く、日本のIPA試験では「情報セキュリティの3要素」または「CIA」と表記されます。NISTの各種ガイドライン(SP 800-53など)でも同じ3要素が情報セキュリティの基盤として位置づけられており、国際的に共通の概念です。
Q. 3要素と7要素の違いは?試験ではどこまで覚えるべき?
3要素(CIA)に「真正性」「責任追跡性」「否認防止」「信頼性」を加えたものが7要素です。ITパスポートや基本情報では3要素の出題が圧倒的に多く、7要素が直接問われるケースはまれです。応用情報や情報セキュリティマネジメントでは、真正性や信頼性の定義を選ばせる問題が出ることがあるため、基本情報に合格したら7要素にも目を通しておくと安心です。
Q. 実務ではCIAの概念をどう活用するのですか?
企業のセキュリティポリシー策定やリスクアセスメントの場面で活用されます。たとえば、情報資産ごとに「機密性はレベル2」「可用性はレベル3」のように評価値を設定し、保護すべき優先度を定量的に判断します。ISMSの認証取得やセキュリティ監査でも、3要素それぞれの観点でリスクを洗い出すプロセスが求められます。
Q. 「機密性」と「秘匿性」は何が違いますか?
JIS Q 27000の正式な用語は「機密性(Confidentiality)」です。「秘匿性」は一般的な日本語として使われることがありますが、IPA試験の出題文や公的な規格文書では「機密性」が使用されます。試験対策としては「機密性」で統一して覚えてください。解答で「秘匿性」と書くと不正解になるリスクがあります。
