セキュリティのしくみ「三要素(CIA)以外の特性」

スポンサーリンク

セキュリティの追加要素

JIS Q 27000おける情報セキュリティの定義では、三要素に加えて「真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある」という注記が書かれています。

正しく記録し、確認できるようにする

作成された資料が第三者によるなりすましによって作成されたものであれば、その情報は正しいか判断できません。

そこで、本人によって作成されたものであることを確かめるために、作成者に対して権限を付与し誰が作成したのかを明確にすることを「真正性を確保する」といいます。

資料などを誰かが勝手に変更した場合、いつ誰が何に対してどのような作業を行ったのか、証拠を残しておく必要があります。これを責任追跡性といい、ネットワークやデータベースなどに対するアクセスログとして保存します。

また、ログを取得しているはずなのに取得できていない、通信を監視して不審な通信を止めているはずなのに侵入されているなど、システムが正しく動作していないと、想定した結果が得られない場合があります。

このような故障などが発生しにくく、求める基準を満たしていることを「信頼性が高い」といいます。

本人の行為であることを示す「否認防止」

データが書き換えらたとき、その変更を行った人に確認しても、否認する場合があります。つまり「やっていない」と言われる状況を防ぐことを否認防止といます。

作成時に電署名を付加しておくと証拠となり、その事実を否認できなくなります。