皆さんこんにちは。インフラサービスチーム橋本です。
情報セキュリティにおける3要素である、“機密性”、“完全性”、“可用性”を守ることは基本とされています。
近年は上記3つの要素に4要素を加えた7要素を考慮する必要があると言われています。
今回は追加された4要素を1つずつ解説していきましょう。
目次)
(1)情報セキュリティの七要素
(2)追加要素の詳細
(1)情報セキュリティの七要素
◆セキュリティの三要素
機密性(confidentiality)
完全性(integrity)
可用性(availability)
◆セキュリティの追加要素
1996年 追加されたもの
└真正性(Authenticity)
└責任追跡性(Accountability)
└信頼性(Reliability)
2006年に追加されたもの
└否認防止(non-repudiation)
(2)追加要素の詳細
・真正性(Authenticity)
真正性とは、署名や認証などを用いて、利用者が適正であることや、
データが改ざん等を施されていないことを指します。
具体的には、真正性は指紋認証技術やハッシュ等の暗号技術を用いた仕組みなど
によって担保されます。
〇ポイント
利用者や情報が本物であることを明確にする
なりすまし、偽情報の防止
〇対策
デジタル署名
→データが虚偽のものでないことの証明
証明書の導入
→信頼できる認証局の証明
・責任追跡性(Accountability)
システムに残されている記録(ログ)などの証跡を用いて、いつ何が起こったのかを
適切に追跡/追及できることと、それらのログが改ざんされておらず、システムなどの
挙動を追跡するためのものが揃っていることを指します。
具体的には、責任追及性は、各種機器から出力されるログおよび、ログ管理の仕組みによって担保されます。
〇ポイント
変更がどのようにして行われたか?追跡できるようにしておく
→改ざんの防止
〇対策
アクセスログや操作ログを残す
→最終的な作成者の特定、データ変更者の特定
・信頼性(Reliability)
情報システムの処理が適切であり、矛盾なく動作できるような構成であることを指します。
具体的には、信頼性はハードウェアの冗長化(予備装置の配置)をはじめとしたシステムの安定稼働
を担保するための技術によって担保されます。
〇ポイント
求められる基準を満たすこと
システム不備の防止
〇対策
バグの改修
→想定外のトラブルを防ぐ
・否認防止(non-repudiation)
発生事象や作成されたデータを、後でなかったことにされないようにすることを指します。
具体的には、タイムスタンプや署名技術の活用などで担保されます。
〇ポイント
本人の行為であることを示す
→否認できないようにする
〇対策
電子署名
→作成データの証明
今回は、「セキュリティの追加要素」について要点を解説しました。
情報セキュリティの基本を知り、考え方を抑えることで、
正しいセキュリティ対策を講じることができると考えます。
今後も継続的に情報セキュリティに関連した内容を発信したいと思います。
本記事がセキュリティ対策について理解を深めたいという方の参考になれば幸いです。
参照)
1)まさるの勉強部屋【#3 セキュリティの七要素】
https://www.youtube.com/watch?v=1mqpvmZcMFA
2)情報セキュリティ3要素と7要素 CIAの定義から4つの新要素まで解説
https://business.ntt-east.co.jp/content/cloudsolution/column-167.html
3)情報セキュリティにおける“新4大要素”とはなに?
https://www.johosecuritynavi.com/?p=566
本ブログの感想や疑問、案件にまつわるお問い合わせは以下のフォームより募集しております。