【個人情報対策】JAPHICマーク取得企業の否認防止対策とは?

未分類

情報セキュリティにおける重要な要素は、以前まで機密性・完全性・可用性の3つで構成されていました。
近年は、こちらに真正性・信頼性・責任追及性・否認防止という4つの要素が追加されています。
今回は、JAPHICマーク取得企業が行うべき否認防止対策について解説します。

否認防止とは?

否認防止は、システムの利用・操作・データの送信といったセキュリティ上重要な行動について、行動した本人が後から否定できないようにすることです。

情報セキュリティ上のインシデントの多くは、インシデントが発生した時点では認識されません。
かなり前から攻撃などを受けていて、いつの間にか被害が大きくなっていたというケースがほとんどです。

そのため否認防止対策を行い、「〇月〇日に、あなたはこういった違反行為を行った」という事実を突きつけられる環境を整えておくべきです。

ちなみに否認防止は、単純に業務上のミスにおける原因究明や再発防止にもつながります。

JAPHICマーク取得企業における否認防止対策4選

JAPHICマーク取得企業が採用すべき否認防止対策には、主に以下のものが挙げられます。

・各種ログの保存
・デジタル署名
・タイムスタンプ
・デジタルフォレンジック

各対策について詳しく説明します。

各種ログの保存

JAPHICマーク取得企業が否認防止対策としてまず導入したい対策は、各種ログの保存です。

具体的には通信ログやアクセスログ、操作ログなどを保存し、その人物がデバイス等を操作した証拠を残すという方法です。
こちらは責任追及性対策としても導入されるもので、社内のデバイスでは必ず採用しなければいけません。

デジタル署名

デジタル署名も、責任追及性対策、否認防止対策の両方で用いられるものです。

デジタル署名は、情報通信ネットワーク上で行う電子商取引などで、書面による契約の信頼性と同等の法的効力を持たせる技術です。

具体的には、送信者が送信データを一定のルールに基づいて処理した結果(署名)をデータとあわせて送り、受信者が真正性を確認することで安全な電子取引を可能にします。

またデジタル署名があれば、そのメールの受信者は「自分が送ったものではない」と否認することができなくなります。

タイムスタンプ

タイムスタンプは、電子データが作成された日付と時刻を記録し、データの信頼性を証明する役割を果たすものです。

電子データは、紙の書類と比較して簡単に改ざんされてしまうことがあります。
しかしタイプスタンプを電子データに付与すれば、その時刻以降にデータが改ざんされていないことを確実に証明できます。

さらに前述のデジタル署名や暗号化と組み合わせることで、データの完全性とセキュリティを強化するための重要なツールになります。

もちろん、タイムスタンプはその書類がつくられた日付や時刻を証明できるため、それ以降の操作における否認防止にもつながります。

デジタルフォレンジック

デジタルフォレンジックは、セキュリティインシデントが発生したとき、サイバー犯罪の解明や被害状況、影響範囲などを明らかにするための証拠を収集するプロセスです。

JAPHICマーク取得企業は、こちらを実施できる環境を整えておくことにより、否認防止対策ができます。

例えばデジタルフォレンジックにより、データを回復・分析することで、消去されたデジタルデータや隠された情報を明らかにすることが可能です。
またネットワークのログ分析により、サイバー攻撃の原因や経路を特定することもできます。

まとめ

JAPHICマーク取得企業が行うべき否認防止対策は、他の情報セキュリティ要素の対策にもつながるものが多いです。
そのため、企業全体の情報セキュリティ対策状況を考慮しながら、適宜必要なものを導入するようにしましょう。
もちろん、その他の情報セキュリティ要素における対策についても、一つ一つ確認しながら最適なものを採り入れることが大切です。

JAPHICマークに興味を持って頂いたら

JAPHICマークをもっと知って頂くために、コンサルタントによるJAPHICマーク取得のための無料セミナーを月2回実施しています。
詳しい日程はこちらから

JAPHICマーク取得コンサルティング資料請求などはこちらから

未分類
タイトルとURLをコピーしました