情報セキュリティの「否認防止」

情報セキュリティ
情報の機密性、完全性および可用性を維持すること。
※注記：これに加えて、真正性、責任追跡性、否認防止、信頼性などの特性も関係する場合がある。
〜ISO/IEC 27000:2018

送信履歴のない言葉

卒業論文を研究室のメンバーで交換し合った。
彼女は僕の発表を「ちゃんと聞いていたよ」と言った。
そして「いちばん、いい発表だったよ」とも言った。
「ウソじゃないよね？」と、僕は笑って応える。
言葉には、送信履歴が残らないからーー
僕は彼女の言葉を信じるしかなかった。

か

か

次のインシデントは、情報セキュリティの「否認防止」に関わるインシデントといえるか？

発注の際、電子契約で送付されたメールに電子署名がなく、発注者が「送った覚えはない」と主張した。

答えを表示

情報セキュリティにおける「否認防止」は、ある行為や出来事が発生した際に、その事実を後から否定できないようにする仕組みや概念のことです。具体的には、デジタル署名やログの取得などによって、誰がいつ何をしたのかを証明し、不正な否認を防ぎます。問題文では電子署名のない発注行為がされたことで、受注者が注文の事実を追求しても、発注者がそれを否定する事象を招いてます。

「否認防止」は、 CIA の要素である「完全性」と強い関連があります。データの改ざんを阻止する「完全性」は「否認防止」を成立させるための前提条件といえるでしょう。ただ、完全性は「内容が正しいこと」を保証するのに対して、「否認防止」は「誰が行ったかを否定できないこと」を保証する特性です。ですので、データは改ざんされてなくても、そのデータの作成主体が特定できなければ、「否認防止」は成立しません。これは、共有アカウントを使う場合によく起きる事象ですね。