IT分野におけるセキュリティでは、
前回のレッスンで学習した3要素(機密性・完全性・可用性)に加え、
さらに4つの要素も重要になります。
3要素については、セキュリティについて考える時、
どのようなケースにおいても当てはまる重要な要素です。
しかし、特殊な環境ではこの3要素だけでは不十分であることがあります。
このレッスンでは、4つの新要素について解説します。
真正性(Authenticity)
「真正性」とは、「確かに本人である」ことを示すことです。
インターネット上では第三者によるなりすましが横行していますが、
本人になりすました人が取引したりするのは問題です。
また人だけではなく、インターネット上のサービスが本物かどうかも
区別しなければなりません。
これを防ぐために、本人(本物)であることを証明する必要があります。
真正性を保つ方法としては、
- デジタル署名
- 2段階認証
- 生体認証
などがあります。
責任追跡性(Accountability)
「責任追跡性」とは、データを第三者が勝手に変更した場合、
誰が、いつ、どのような作業をしたのかを追跡できることです。
具体的には、システムの利用者がパスワードによる認証を受けることで、
ログインや編集の記録を残すことができます。
信頼性(Reliability)
「信頼性」とは、システムの不具合や故障などが発生しにくく、
期待通りに処理などが正しく行われることです。
しかし、システムやデータは、不正な侵入やエラーなどによって、
正しく動作しないこともあるため、信頼性の確保は簡単ではありません。
対策としては、
- 不具合の起きにくい設計にする
- 操作ミスなどが起こっても、データが損失しないしくみにする
などがあります。
否認防止(non-repudiation)
「否認防止」は、データが勝手に利用されたり改ざんされた時に、
その行為をした本人が後から否認できないように、
証拠を残しておくことです。
証拠を揃えて問題を起こした者の犯罪・過失として、
責任の所在を明確にします。
否認防止ができる施策としては、
「デジタル署名」などがあげられます。
セキュリティの要素として、
どの場合においても重要である3要素(機密性・完全性・可用性)と、
新たに加えられた4要素(真正性・責任追跡性・信頼性・否認防止)について
解説しました。
7要素を学ぶ中で出てきた「デジタル署名」「生体認証」や「暗号」などについては、
以降のレッスンで解説していきます。
