ISO/IEC 25010は、ソフトウェアの品質評価を行うための規格であり、セキュリティ(Security)の品質特性には、機密性、インテグリティ、否認防止性、責任追跡性、真正性の5つの品質副特性が含まれています。ここでは、それぞれの品質副特性について詳しく解説します。
機密性(Confidentiality)
機密性とは、ソフトウェアやそのデータが、不正なアクセスや使用から保護されることを示す品質副特性です。機密性が高いソフトウェアは、機密情報が漏洩することなく安全に保管されるため、セキュリティリスクを軽減することができます。機密性は、データ暗号化、アクセス制御、認証、監査などのセキュリティ対策が影響します。
インテグリティ(Integrity)
インテグリティとは、ソフトウェアやそのデータが、正確性、完全性、信頼性を維持することを示す品質副特性です。インテグリティが高いソフトウェアは、データの改ざんや偽装がないため、信頼性が高く安心して利用することができます。インテグリティは、データの暗号化、改ざん検知、署名などのセキュリティ対策が影響します。
否認防止性(Non-repudiation)
否認防止性とは、ソフトウェアが実行されたことや情報の送信が行われたことを否認できないことを示す品質副特性です。否認防止性が高いソフトウェアは、情報の改ざんや偽装がないため、トラブルの際に問題の原因を特定しやすくなります。否認防止性は、認証、署名、監査などのセキュリティ対策が影響します。
責任追跡性(Accountability)
責任追跡性とは、ソフトウェアが実行された時点での情報を追跡し、適切な人物や組織が責任を負うことができるようにする品質副特性です。責任追跡性が高いソフトウェアは、不正行為やセキュリティインシデントが発生した場合に、適切な対応や責任の所在を特定することができます。責任追跡性は、ログ管理、トレース、監査などのセキュリティ対策が影響します。
真正性(Authenticity)
真正性とは、ソフトウェアやそのデータが、信頼できる情報源から提供されたものであることを示す品質副特性です。真正性が高いソフトウェアは、信頼性が高く、偽造や改ざんされた情報を受け取るリスクを軽減することができます。真正性は、データの署名、認証、暗号化などのセキュリティ対策が影響します。
まとめ
以上のように、ISO/IEC 25010に含まれるセキュリティの品質副特性は、ソフトウェアの保護、信頼性、可視性を向上させるための重要な基準となります。これらの品質副特性を適切に評価することで、高いセキュリティレベルを維持するソフトウェアを開発することができます。
コメント