やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

真正性(authenticity)

 真正性とは、情報セキュリティの要素の一つで、利用者、プロセス、システム、情報などのエンティティが、それが主張する本人である(なりすましではない)という特性のことです。

 JIS Q 27001:2014(情報セキュリティマネジメントシステムー用語)では、以下のように定義されています。

  • エンティティは、それが主張するとおりのものであるという特性。

kikakurui.com

 同資料では、情報セキュリティの定義としては、「情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある」としています。

 それぞれの用語について以下に示します。カッコ内は上記のJIS Q 27001:2014(情報セキュリティマネジメントシステムー用語)での定義です。

  • 機密性(confidentiality):アクセスコントロールともよばれる概念で、許可された正当なユーザだけが情報にアクセスするよう、システムを構成することが要求される。(認可されていない個人、エンティティまたはプロセスに対して、情報を使用させず、また、開示しない特性)
  • 完全性(integrity):情報が完全で正確であることを保証することで、情報の一部分が失われたり、改ざんされたりすると完全性が失われる。(正確さ及び完全さの特性)
  • 可用性(availability):ユーザが情報を必要なときに、いつでも利用可能な状態であることを保証し、機器が故障していたり、停止していたりすることで可用性が低下する。(認可されたエンティティが要求したときに、アクセス及び使用が可能である特性)
  • 真正性(authenticity):なりすましでないことが証明できること。(エンティティは、それが主張するとおりのものであるという特性)
  • 責任追跡性(accountability):利用者やシステムの振る舞いを、遡って確認できることで、ログが記録されていることが要求される。
  • 否認防止(non-repudiation):自分がやったことなのに、「なりすましです」などとして否定するのを防ぐこと。(主張された事象又は処置の発生、及びそれを引き起こしたエンティティを証明する能力)
  • 信頼性(reliability):システムが一貫して矛盾なく動くこと。(意図する行動と結果とが一貫しているという特性)

 

平成29年度 春期 情報セキュリティマネジメント試験 午前

f:id:aolaniengineer:20191121032453p:plain

情報セキュリティマネジメント試験 平成29年度 春期 午前 問24
a 意図する行動と結果とが一貫しているという特性

 これは、信頼性(realiability)の定義です。

b エンティティは、それが主張するとおりのものであるという特性

 これは、真正性(authenticity)の定義です。

c 認可されたエンティティが要求したときに、アクセス及び使用が可能であるという特性

 これは、可用性(availability)の定義です。

d 認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しないという特性

 これは、機密性(confidentiality)の定義です。

 

 正解は、イになります。