信頼性はCIAトライアドのどこに適合しますか?
攻撃者が任意のユーザーの名前でメッセージを送信できるチャットアプリケーションについて考えます。これは明らかにメッセージの信憑性に違反します。しかし [〜#〜] cia [〜#〜] のどの側面が違反されるでしょうか?
完全性は私に最も近いように見えますが、それは通常、データを変更してはならないことを意味します。
それでも整合性はカバーされます。データの作成または削除は依然として整合性の違反です。 (これは、データセット全体の変異と見なすことができます。)
シナリオをCIAカテゴリのいずれかに当てはめる必要がある場合、意図しない状態を作成して整合性に違反するため、integrityが適切なものであるというDavidの見解を支持します。
しかし、CIAトライアドの一般的な拡張である Parkerian hexad も確認してください。これは、属性confidentiality、possessionまたはcontrol、integrity、authenticity、availabilityおよびutility。このモデルでは、別のユーザーの名前でメッセージを書き込むと、authenticityカテゴリに分類されます。
また、CIAトライアドを主に全体的なセキュリティ目標として考えることもできます。ただし、特定の脆弱性を分類するための強力なツールとは限りません。
合いません。真正性と否認防止性は、トライアドの一般的な拡張機能です。データプライバシーは別のものです(特にヨーロッパでは)。
CIAトライアドは、ニーモニックと同様、便利なツールであり、完全な定義ではありません。これは、情報セキュリティへのひたむきなアプローチからの脱却に大いに役立ちますが、完全にはカバーできない問題が常にあります。
Authenticityを明示的にカバーするよく知られた拡張機能は Perkerian Hexad です。
ネットワークを通過するメッセージを「情報」と見なす場合、「情報セキュリティ」の最も重要なセキュリティ属性は、機密性、完全性、真正性(可用性ではない)です。共通の暗号化キーを共有するユーザーのグループについて考えます。あるメンバーは別のメンバーになりすましてメッセージを作成し、グループキーで暗号化し、完全性のためにハッシュすることができますが、その信頼性は侵害されます。
別の関連するセキュリティトライアドは、否認防止、可用性、および鮮度、つまりnRAFです。
要約すると、CIA nRAFという2つのセキュリティトライアドがあります。最初のグループ(機密性、整合性、信頼性)が最も重要であり、可用性が存在する2番目のグループも重要ですが二次的です。