学習メモ『情報セキュリティマネジメント試験』#4

ちょっとやる気が怪しかったけど、今回もやっていきましょう！
https://www.sg-siken.com/word/index_security.html

今回からそんなに重要性は高くない項目になってくるでしょうからポンポンやっていこうと思います～

今回は、「真正性(Authenticity)」についてですね～

JIS Q 27000 では「エンティティは、それが主張する通りの者であるという特性」と定義されているみたいです～

とりあえずそのシステム・機能の利用者が扱う情報が、主張通りであることを確実にする特性のこと。

っというとこれまたややこしい感じですが、要は変な人は使えないはずよね～っという特性の事らしい…

これが低いと、簡単になりすましでそのシステム・機能を使用できちゃうよ～っという事で、セキュリティ的には

非常に危険な状況が生まれるから一応大事な要素ではあるというところですかね～

次は『責任追及性【Accountablility】』ですね。
割とそのまんまな意味ですが、「情報資産に行われたアル操作についてユーザーと動作を一意に特定でき、過去にさかのぼって追跡できる特性のこと。」

分かりやすいので行くと、ICカードなどによる入退室や情報システムの動作状況、情報資産への操作などの必要な履歴をログとして記録し、

後から識別できるようにしている、などがこれに当る感じですね～

次に、『否認防止【Non-Repudiation】』

前の責任追及性に近い感じはありますが、

行われた操作や事実について証明ができ、あとになっても否認されないようにする能力のこと。

ログの取得で必要な項目を確実に記録するとともに、完全性が損なわれない様に保存することで確保できます～

例えば、ディジタル署名やタイムスタンプなどがある、
結局誰が、いつ、何をしたか？を追跡できて、それが証拠として有効だ！という事が
システムを利活用する上では重要だということですね～

とはいえ、この辺りからだんだん刑法的な話にもかかわっている気がするから

中々扱いが難しい気はしますけどね～

一応情報セキュリティにおいては、否認防止の意味と用途は

・データの「完全性」と起源の証明を提供するサービス・システム

・高度な保証によって本物であることを断定できる認証

を伴っている仕組みとなっているみたいですね～

一応前項で登場した、「完全性」を証明することでこれら要件を満たすことになるので、

これまたややこしい性質な気はしますが…

いわゆる、データハッシュの技術を使えば、データが知らないうちに改ざんされた可能性を極めて低くするのに

十分であるとされています。

ただ、やっぱり一筋縄にはいかなくて、中間者攻撃や、フィッシングといった手段で転送中のデータへのアプローチで

改ざん・偽造をすることは可能です。

そのため、データ完全性を最大限保証・確保するには、必要な検証情報を受信者が事前に入手している必要があるんですね～

デジタルデータが本物であることを保証する最も一般的な方法は、デジタル署名などの公開鍵暗号方式などで活用されている

公開鍵証明書を利用する事である。最近だと、何かと話題のマイナンバーカードとかでも活用されていますね～

まあ、もちろん、これも完璧とはいいがたくて、

単に秘密鍵を所有している人が署名したという情報をもとに、関連するデジタルデータの内容を信用する。

という内容なので、ある意味で印鑑証明書のハンコで署名した。っという旧来の考え方と

本質的には一緒ともいえますね～

まあ、大事なのは「完璧なセキュリティ」は不可能だ。っという前提をちゃんと認識しておくことですね～

なので、完全にできない脆弱性に関しては、刑法などの倫理的なルールに任せるしかないので、

そこも考慮してどこまで、利便性と完全性・否認防止の機能を塩梅として取るのかが重要なのでしょうね～

ちょっと色々あって、分けて作ってしまったんですが、一旦ここで区切るとしましょう～