情報漏えいの責任追跡

情報セキュリティ
情報の機密性、完全性および可用性を維持すること。
※注記：これに加えて、真正性、責任追跡性、否認防止、信頼性などの特性も関係する場合がある。
〜ISO/IEC 27000:2018

教授推薦をもらった理由

彼女が教授と話し込んでいた。
それも、かなりの長時間。
研究室の打合せスペースには間切りがあり、ふたりの声は僕には聞こえない。
そのあと、彼女は教授推薦をもらったと喜んでいた。
彼女はいち早く就職戦線の勝ち組になったようだ。
何が推薦の決め手になったのだろう・・・？
彼女に理由を聞けないけど、どうしても気になってしまう。

か

か

次のインシデントは、情報セキュリティの「責任追跡性」に関わるインシデントといえるか？

顧客情報の漏えいが発生したが、アクセスログが取られておらず、原因の特定できなかった。

答えを表示

情報セキュリティにおける「責任追跡性」は、誰がいつ、どのような情報にアクセスし、どのような操作を行ったかを記録し、後から追跡できるようにすることです。これにより、インシデント発生時の原因究明や再発防止、不正行為の抑止に役立ちます。問題文ではシステムのアクセスログが取られていないことで、顧客情報の漏えいという重大インシデントが発生したにも関わらず、誰がいつ何をしたかの追跡ができない状況です。

「責任追跡性」は「匿名性」とトレードオフの関係になります。「匿名性を高めるほど責任追跡性は低下し、責任追跡性を高めるほど匿名性は失われる」という関係です。情報セキュリティの構築にあたっては、このバランスをどう取るかが重要になります。