• 否認防止は情報セキュリティ7大要素の1つである
  • 否認防止とは、責任追及や原因特定を後からできるようにログを取ったりしておくこと
  • 否認防止はログの信頼性を確保しなければならない

情報セキュリティの7大要素の一つである否認防止性。ISO27001 では、CIAとも呼ばれる「機密性完全性可用性」の情報セキュリティ3大要素をバランス良く維持することを求められますが、それ以外の4つ「責任追及性、真正性 、否認防止性、信頼性」も考慮すべき 特性 です。今回はそんな4つの特性の中から否認防止性というものについて解説していきたいと思います。

否認防止とは

否認防止とは、システムの利用・操作・データの送信などのセキュリティ上重要な行動をしたことを、行動した本人が後になってから否定できないように、操作ログや署名を取得することを確実にすることです。

例えば通信のログを改ざんできない形で残したり、タイムスタンプやIPアドレス技術を用いて「そのデータ操作をいつ行ったのか」という記録を取ったり、デジタル署名を用いて本人に認証させることが否認防止の具体的な対策になります。

もう少し簡単に表現すると「これ、あなたがやったんですよね?」ということを後から責任を追求できるように証拠を残しておくことが否認防止です。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

否認防止がなぜ必要なのか?

否認防止がなぜ必要な理由のほとんどは、「商業的な取引や悪質な操作の根源を識別するため」です。何らかの情報システムを運用している方ならわかると思いますが、情報セキュリティ上のインシデントの多くは、インシデントが発生した時点では認識されません。「いつの間にかこんなことになっていた」というものであることがほとんどだと思います。現実の世界でいうと、現行犯で逮捕することができるケースというのは非常に稀で、「○月○日に、あなたはこういう違反行為を行った」というケースが多いということです。

インターネット上では、様々な行為が目まぐるしく行われていますから、否認防止性を維持して後になってからでも原因を特定し、責任追及したり、再発防止の対策を実施したりすることが重要なのです。

否認防止性と信頼性はセットで考える

ただし、否認防止の対策を取っておけば完全に否認防止できるというわけではありません。例えば操作ログをデータベースに記録するような場合、データ改ざんを行うことができる可能性は十分にあります。なぜならSQLインジェクションやIPアドレスは比較的容易に行うことができるためです。それが内部のプログラムコードを見ることができる人間であるのであればなおさらです。

このため、否認防止のためのログは信頼性を維持できるものである必要があるのです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

まとめ

今回は、情報セキュリティにおける否認防止について解説してきました。否認防止は情報セキュリティのCIAと比べて軽視されがちですが、しっかりと対策を取っておきましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ