#1 真正性って説明できる?【情報セキュリティマネジメント】

情報セキュリティマネジメント

はじめに

この記事シリーズは情報セキュリティマネジメントの資格勉強で学んだことの中でも、特に気になった内容、正しく理解したい内容をブログ記事にしてアウトプットしていきます。

実際に学んだことを整理し、理解を深めるための参考にもなればと思っています。

参考書とサイト

資格勉強におすすめな参考書はこちらです。
重要なキーワードや仕組みについてわかりやすく記載されており、特に図解もあるのがポイントです。

(全文PDF・単語帳アプリ付)徹底攻略 情報セキュリティマネジメント教科書 令和6年度
(全文PDF・単語帳アプリ付)徹底攻略 情報セキュリティマネジメント教科書 令和6年度


参考書を1周したり、腕試しを試したい方はこちらのサイトも有効活用しましょう。
情報セキュリティマネジメントの過去問が無料で試せます。

情報セキュリティマネジメント過去問道場🥋


真正性って説明できる?

情報セキュリティマネジメントの1番最初に学ぶ内容に、「情報セキュリティの定義」が出てきます。

そこで出てくる単語に「真正性(Authenticity)があります。
説明文として、「エンティティはそれが主張する通りのものであるという特性である」とありました。この説明文だけでは何となくでしか、わからなかったので正しく理解したいと思います。

真正性とは?

真正性とは、情報や通信が「本物であること」や「改ざんされていないこと」「信頼できる元から発信されたこと」を保証する概念です。情報セキュリティにおいて、真正性は非常に重要で、正しい人物や組織から発信されたデータであることを確認することが求められます。

例えば、あなたが銀行から重要なメールを受け取ったとき、メールの差出人が本当に銀行であるかを確認する必要があります。
もし、メールが偽の銀行アドレスから来ていた場合、それは「真正性」がないことになります。真正性を保証するためには、銀行から送られたメールにデジタル署名をつけることで、メールが本物であり、途中で改ざんされていないことを確認できる仕組みがあります。
デジタル署名を用いることで「送信者が本物であること」「メッセージが改ざんされていないこと」「信頼性の確保」などが保証されます。

情報セキュリティマネジメントの観点から「真正性」がなくなると、
「データ改ざん」「なりすまし」「信頼性の喪失」「法的問題」など多くのリスクが発生することになります。

真正性と完全性の違い

同じく重要な基本概念に「完全性(Integrity)」があります。
こちらの説明文としては「正確さおよび完全さの特性」とありますが、どう違うのでしょうか。

簡単に違いをまとめると次のようになります。
真正性は「誰が送ったか」の確認(情報の発信者の信頼性)。
完全性は「情報の内容がそのままであるか」の確認(情報の内容が改ざんされていないか)。

詳しく違いを比較するとこうなります。

項目真正性 (Authenticity)完全性 (Integrity)
定義情報が正当な発信者から送られたものであることの確認情報が送信後、途中で改ざんされていないことの確認
目的発信者の信頼性を確認し、情報が偽造されていないことを証明情報の内容が変更されていないことを保証
焦点情報の発信者や出所の確認受け取った情報の内容が正確であるかを確認
関係する技術デジタル署名、認証、公開鍵暗号化ハッシュ関数、チェックサム、メッセージ認証コード(MAC)
メールが銀行から正当に送信されたことを証明するための署名送信されたファイルが受信者に届いたときに改ざんされていないかをチェックするためのハッシュ値
関連性誰が情報を送ったのか、発信者の信頼性に関連情報が途中で変更されたり、削除されたりしていないかに関連
問題が発生した場合なりすまし(フィッシングなど)や偽の情報が届く可能性情報が不正に変更されていた場合、誤った意思決定や混乱を招く可能性


関連する重要キーワード

ここでは今回の内容にかかわるキーワードをまとめていきます。

JIS Q 27000

JIS Q 27000は、日本の情報セキュリティ管理のための規格群で、情報セキュリティマネジメントシステム(ISMS)の導入や運用に関するガイドラインを提供します。
特に、情報の保護とリスクマネジメントを重視し、企業や組織が情報セキュリティに関するベストプラクティスを実施できるようにサポートします。

機密性(Confidentiality)

機密性は、情報が許可された者だけにアクセスされることを保証する概念です。
情報の漏洩を防ぐために、適切なアクセス制御や暗号化を使用します。例えば、個人情報や企業の機密情報は、アクセスできる人物を制限して保護されます。

完全性(Integrity)

完全性は、情報が正確であり、意図した通りに変更されていないことを保証する概念です。
途中で改ざんされていないことを確認するために、ハッシュ値デジタル署名が使われます。データが誤って変更されたり、悪意を持って改ざんされることを防ぎます。

可用性(Availability)

可用性は、必要なときに情報がアクセス可能であることを保証する概念です。
システムのダウンタイムを減らし、サービスを常に提供できる状態を維持することが求められます。例えば、冗長化バックアップを活用して、障害発生時でも情報を利用できるようにします。

真正性(Authenticity)

真正性は、情報が正当な発信者から送られたものであり、改ざんされていないことを確認する概念です。
デジタル署名や公開鍵暗号化を使うことで、情報が信頼できる発信者から届いたことを証明します。

責任追跡性(Accountability)

責任追跡性は、情報の利用や操作に関与した人物やプロセスを追跡できることを意味します。これにより、不正アクセスやデータの不正使用が発生した場合に、責任者を特定し、適切な対応が取れるようにします。

否認防止(Non-Repudiation)

否認防止は、情報を送信した当事者がその行為を否認できないようにする概念です。
送信者が後で送信したことを否定できないように、デジタル署名やタイムスタンプを使用して証拠を残します。これにより、取引や通信の証拠が確実に保持されます。

信頼性(Reliability)

信頼性は、情報やシステムが期待通りに機能し、障害なく動作し続けることを意味します。
情報システムが常に予測可能で安定して稼働することで、業務の継続性が保たれます。

タイトルとURLをコピーしました