目次
はじめに
情報セキュリティと聞くと、多くの方が「三要素(機密性・完全性・可用性)」を思い浮かべるかと思います。
これは基本中の基本で、どの教科書にも載っている有名な考え方です。
しかし実際のシステム運用やビジネスの現場では、この三要素だけでは十分ではありません。
より安全性を確保するために 「追加要素」 と呼ばれる考え方も重要になってきます。
この記事では、セキュリティの追加要素である
- 真正性(Authenticity)
- 責任追及性(Accountability)
- 否認防止(Non-repudiation)
- 信頼性(Reliability)
の4つを、初心者にもわかりやすく解説していきます。
セキュリティ三要素と追加要素の位置づけ
まず整理しておきましょう。
| 種類 | 要素 | 意味 |
|---|---|---|
| 三要素 | 機密性(Confidentiality) | 情報を許可された人だけが見られる |
| 完全性(Integrity) | 情報が正しく改ざんされていない | |
| 可用性(Availability) | 必要なときに使える | |
| 追加要素 | 真正性(Authenticity) | 情報や通信の正しさ 本物であること |
| 責任追及性(Accountability) | 誰が何をしたかを 後から追えること | |
| 否認防止(Non-repudiation) | 「やっていない」と 言わせない仕組み | |
| 信頼性(Reliability) | システムが安定して 正しく動くこと |
三要素が「守るべき基本ルール」だとすると、追加要素は「実運用で安全性をさらに高めるための仕組み」と言えます。
あわせて読んで欲しい
真正性(Authenticity)
真正性とは「それが本物であることの証明」 です。
例えばメールで「社長からの指示です」というメッセージが届いたとき、それが本当に社長から送られたものかどうかを確認する必要があります。
もし偽物だったら、攻撃者の指示に従ってしまう危険があります。
-740x389.png)
真正性を確保する方法
| 方法 | 説明 | 具体例 |
|---|---|---|
| 認証(Authentication) | 利用者が正しい本人か確認する仕組み | ID+パスワード、指紋認証、顔認証 |
| デジタル署名 | 電子的に「本人が作成した」証明をつける | 電子契約サービスなど |
| 暗号技術 | 通信の送信者と受信者を特定 | SSL/TLS(HTTPS) |
真正性が確保できないと、「なりすまし」「フィッシング詐欺」などに騙されやすくなります。
責任追及性(Accountability)
責任追及性とは「誰が何をしたのかを後から確認できること」 です。
もし不正アクセスや情報漏えいが起きたときに、「誰が行ったのか」「どんな操作をしたのか」がわからなければ、原因を突き止めることも再発防止もできません。
責任追及性を確保する仕組み
| 方法 | 説明 | 具体例 |
|---|---|---|
| ログ管理 | 操作履歴を残す | システムのアクセスログ、操作履歴ログ |
| アカウントの一意性 | 一人ひとりに固有のアカウントを割り当てる | 社員共通アカウントは禁止 |
| 監査(Audit) | 定期的に記録を確認・検証 | 内部監査、外部監査 |
責任追及性があると、内部不正や設定ミスがあっても「誰が行ったか」が特定できるので、組織として改善しやすくなります。
否認防止(Non-repudiation)
否認防止とは「あとから『やっていない』と言わせない仕組み」 です。
例えば、ある社員が電子契約を結んだのに後で「自分は同意していない」と言ったら大問題です。
裁判でも契約は成立したのかどうか、証拠が必要になります。
否認防止を実現する仕組み
| 方法 | 説明 | 具体例 |
|---|---|---|
| デジタル署名 | 署名者本人しか作れない証明をつける | 電子契約サービス |
| タイムスタンプ | その時刻に存在していた証拠を残す | 電子文書の保存 |
| 公的認証基盤(PKI) | 信頼できる認証局による証明 | マイナンバーカードの署名用証明書 |
否認防止がなければ、契約や取引の信頼性が損なわれ、ビジネスが成り立ちません。
信頼性(Reliability)
信頼性とは「システムやデータが安定して正しく利用できること」 です。
可用性と似ていますが、信頼性は 「使えるだけでなく、正しく動くこと」 を含んでいます。
例えば、ATMが「お金を引き出す」操作はできても、金額を間違って処理するようでは信頼できません。
信頼性を高める方法
| 方法 | 説明 | 具体例 |
|---|---|---|
| 冗長化 | 故障に備えて予備を用意する | サーバーの二重化、バックアップ |
| フェイルセーフ設計 | 故障時も安全な状態に移行する | 信号機が壊れたら赤点灯に固定 |
| 定期メンテナンス | 点検や更新を行う | セキュリティパッチの適用 |
信頼性はシステム利用者からの信用に直結します。もし「このサービスはよく落ちる」と思われたら、ユーザーは離れてしまうでしょう。
まとめ
今回紹介したセキュリティの追加要素は、以下の4つでした。
- 真正性:情報が本物であることを確認
- 責任追及性:誰が何をしたかを記録し、追えるようにする
- 否認防止:あとから「やっていない」と言わせない証拠を残す
- 信頼性:システムが安定して正しく動くこと
これらは「三要素」を補完する形で、より安全な情報システムを築くために欠かせません。
セキュリティは「技術」だけでなく「信頼」を支える仕組みでもあります。基礎である三要素に加えて、この追加要素を意識することで、より実践的で堅牢なセキュリティを考えられるようになります。
