2017/12/07
情報セキュリティとは、3要素(情報のCIA)である機密性、完全性、可用性を確保することです。
近年、それに加えて真正性・責任追及性・否認防止・信頼性の4つを加えて、「情報セキュリティの7要素」とすることがあります。
本記事では、追加されている4つの要素、真正性・責任追及性・否認防止・信頼性について、解説と具体例を見ていきます。
sponsored link
情報セキュリティの7要素
日本工業規格のJIS Q 27002:2006では、情報セキュリティに基本の3要素(情報のCIA)である機密性、完全性、可用性に加えて、真正性(Authenticity)・責任追及性(Accountability)・否認防止(Non-repudiation)・信頼性(Reliability)のような特性を含めてもよいとされています。
具体的には、JIS Q 13335-1:2006に定義されています。
真正性(Authenticity)
ある主体または資源が、主張通りであることを確実にするための特性。
真正性とは、情報の発信者や情報そのものが本物であることを明確にすること、なりすましや偽の情報ないことが証明できることです。
真正性を確保する具体的な技術としてデジタル署名があります。デジタル署名を利用することで、情報の発信元が本物であることを証明することができます。また、一方向ハッシュ関数を利用することで、情報そのものが本物であることを証明することができます。
責任追及性(Accountability)
あるエンティティの動作が、その動作から動作主のエンティティまで追跡できることを確実にする特性。
責任追及性とは、ある行為が誰によって行われたかを明確にすることです。
例えば、アクセスログや操作履歴のログを保管し、情報の作成や変更が誰によって行われたか記録することです。
否認防止(Non-repudiation)
ある活動や事象など起きたことが、後になって否認されないように証明するための能力。
否認防止とは、否認されないように証明することです。
否認防止を実現する具体的な技術としてデジタル署名があります。デジタル署名を利用することで、情報の発信元が本物であることを証明することができますが、裏返すと発信元が他者であったと否認することはできないということになります。
ちなみに、情報セキュリティの6要素という場合もあり、その場合は否認防止は責任追及性の中に含めて考える。
信頼性(Reliability)
意図した動作、結果に一致する特性。
信頼性とは、情報システムの処理が、欠陥や不具合なく確実に行われる特性のことです。システムを安心して使うことができることを実現するための特性ですね。
具体的には、システムのバグをなくし、システムの想定外の動作を防ぐことがあげられます。また、システムを構築するハードウェアやミドルウェアに実績のある製品を利用することも信頼を確保する一例です。
まとめ
情報セキュリティの7要素として、基本の3要素に加えた4つの要素を見てきました。
追加された4要素は、3要素と比較して、情報を利用する際や、複数の関係者の間でやりとりを行う際に、問題となることを防ぐための特性というのが強いと感じます。情報の利用の仕方が多様化し、情報セキュリティの守備範囲が広がっていることの表れでしょう。
追加された4要素もしっかりとおさえておきましょう。
関連