JAPHICマーク取得企業に必要な責任追及性対策とは?

情報セキュリティ

責任追及性とは、企業または個人が行った動作を追跡できる特性のことをいいます。
こちらを意識することにより、JAPHICマーク取得企業は、データやシステムへの脅威が何なのか、あるいは誰のどういった行為が原因なのかを追究できます。
今回は、JAPHICマーク取得企業に必要な責任追及性対策を解説します。

各種ログ管理

JAPHICマーク取得企業に必要な責任追及性対策としては、やはり各種ログの適切な管理が挙げられます。
具体的には、アクセスログやシステムログ、操作ログなどの管理です。

アクセスログは、パソコンやサーバへの接続履歴のことで、特にWebサーバへの通信記録を指す場合が多いです。
いつ、誰が、どこから接続したのかを確認できます。

システムログは、システムの動作履歴の記録であり、多くの場合OS稼働中に発生した重要な出来事について、時系列で記録していったものを指しています。

操作ログは、ユーザーがパソコンなどの端末上で実行した操作を記録したデータです。
ログインやログアウト、閲覧したデータの内容や変更を加えた操作、データにアクセスした時間帯などが記録されます。

JAPHICマーク取得企業は、これらの各種ログを適切に管理するために、情報処理推進機構(IPA)が監修している“コンピュータセキュリティログ管理ガイド”を活用しましょう。
こちらにはログ管理の概要から、ログ管理の役割・責任の定義、ポリシー、運用プロセスなどが明記されています。

また簡単にログデータの収集や保管、圧縮や分析、モニタリングができるよう、ログ管理システムを活用するのも良いでしょう。

デジタル署名

JAPIHCマーク取得企業の責任追及性対策としては、デジタル署名も挙げられます。

デジタル署名は、電子署名法で規定されているもので、電子ファイルを暗号化・複合化して本人性がないことや、改ざんされたものではないことを証明するものです。
鍵生成アルゴリズムと呼ばれるRSA暗号を用いた公開鍵暗号方式など、セキュリティ性の高い暗号技術が用いられています。

データ送受信の際は公開・秘密鍵と呼ばれるペアの鍵を使い、暗号化や複合化を行います。
またハッシュ値を用いて複合化ができれば、署名した方が自ら作成した文書、改ざんされていない文書であると証明でき、責任追及性対策となります。

まとめ

責任追及性は、情報セキュリティ7要素に含まれる重要な要素です。
特に強固な個人情報保護体制を誇るJAPHICマーク取得企業では、他の6要素とあわせて、責任追及性対策に力を入れなければいけません。
また責任追及性については、JAPHICマーク取得企業において情報を管理する担当者だけでなく、情報にアクセスするすべての従業員が理解しておく必要があります。

タイトルとURLをコピーしました