情報セキュリティにおける7つの基本要素は、機密性、完全性、可用性、真正性、信頼性、責任追跡性、否認防止の7つです。これらの要素は、情報セキュリティの目的である、情報資産を保護し、機密性、完全性、可用性を確保するために必要な要素であり、一つの要素が欠けている場合、情報セキュリティは維持できません。この中で、新たに追加された真正性、信頼性、責任追跡性、否認防止について解説します。
真正性(Authenticity)
真正性は、データや情報の信憑性、真実性を担保するための要素です。真正性が担保されている場合、情報が改竄されていないことが保証されます。具体的には、データの作成者や送信者が本人であることを確認したり、データが改ざんされていないことを検証したりすることが含まれます。
真正性が担保されていない場合、データや情報に対して不正な操作が行われ、情報の正確性が損なわれることがあります。たとえば、個人情報の改ざんや不正アクセスによるデータ改竄が挙げられます。真正性を確保するためには、データや情報の送信元や作成者の認証、デジタル署名の実施、セキュアな通信手段の確保などが必要です。
信頼性(Reliability)
信頼性は、データや情報が意図したとおりに動作することを担保するための要素です。信頼性が担保されている場合、情報が正確かつ完全であることが保証されます。具体的には、システムが安定していること、データの処理や保存が正確であること、システムが障害に対して耐性があることなどが含まれます。
信頼性が担保されていない場合、データや情報の処理や保存に失敗することがあり、情報が正確かつ完全でなくなります。たとえば、データベースシステムの障害によるデータの喪失や破損、データ入力時のミスやシステムの不具合によるデータの誤処理などが挙げられます。信頼性を担保するためには、システムの設計や構築において、冗長性の確保やデータのバックアップ、システムの監視やメンテナンスなどが必要です。
責任追跡性(Accountability)
責任追跡性は、システムやデータの操作履歴を追跡し、操作を行った人物や組織を特定するための要素です。責任追跡性が担保されている場合、システムやデータの不正操作や不正使用が発生した場合、責任者を特定し、適切な対応を行うことができます。
責任追跡性が担保されていない場合、不正操作や不正使用が発生しても、責任者を特定することができず、適切な対応ができません。たとえば、機密情報の漏洩や不正アクセスが発生した場合、責任者を特定できなければ、再発防止策を講じることができません。
責任追跡性を担保するためには、システムやデータの操作履歴の保存、ログの収集と解析、アクセス制御の実施、監視体制の確立などが必要です。
否認防止(Non-repudiation)
否認防止は、情報の送信や受信が否認できないことを担保するための要素です。否認防止が担保されている場合、情報の送信者や受信者が、情報の送信や受信を否認できなくなります。具体的には、デジタル署名やタイムスタンプなどの技術を利用して、情報の送信者や受信者が認証された状態で情報の送信や受信を行うことが含まれます。
否認防止が担保されていない場合、情報の送信者や受信者が、情報の送信や受信を否認できるため、情報の真偽や正確性について疑義が生じることがあります。たとえば、取引情報の送信や契約書の送信において、否認防止が担保されていない場合、取引や契約の内容が後から否定される可能性があります。
否認防止を担保するためには、デジタル署名技術やタイムスタンプ技術などを利用して、情報の送信者や受信者の認証を行うことが必要です。また、情報の保存や送信において、情報の改竄や削除ができないような仕組みを導入することも重要です。
まとめ
情報セキュリティ7要素には、機密性、完全性、可用性の3つが従来から含まれていました。しかし、近年では、真正性、信頼性、責任追跡性、否認防止の4つが新たに加わり、情報セキュリティをより総合的に評価するための指標として注目されています。
これらの要素を適切に担保するためには、システムやデータの設計や構築、アクセス制御や監視体制の整備、技術的なセキュリティ対策の実施などが必要です。また、情報セキュリティにおいては、情報セキュリティポリシーや規定の策定や、社員の教育・訓練など、組織的な取り組みも重要です。
情報セキュリティに関する法律や規制も整備されており、情報セキュリティに対する意識の高まりや、企業が持つ重要な資産である情報資産の増加に伴い、より一層重要性が高まっています。情報セキュリティ対策は、企業の信頼性や社会的信用にも大きく関わるため、組織全体での取り組みが求められます。
コメント