情報セキュリティにおける「否認防止」とは？

記事を書いた動機

• 「徹底攻略 情報処理安全確保支援士教科書 令和7年度」を使って勉強を進めている。
• p. 48でJIS Q 27000に定義されている情報セキュリティを構成する重要な要素としておなじみのCIA (Confidentiality, Integrity, Availability) が紹介されていた。
• さらに追加して「否認防止」というものが紹介されていた。
  • 「主張された事象又は処置の発生、及びそれを引き起こしたエンティティを証明する能力」という形でこの書籍内では紹介されていた。
  • いまいちぴんとこなかったので実例や実現するための技術について調べようと思った。

TL;DR

• この記事では情報セキュリティにおける「否認防止」の定義について実例をふまえながら理解していく。
  • 雑に言うと、「情報セキュリティに関係する操作を行ったことを、行った本人が後から否定できないようにする」といったところ。
• 関連技術の理解を深める助けとして、否認防止を実現するための技術についても紹介する。

否認防止の定義と例について

フォーマルな定義について

実際にJIS Q 27000の記載内容を見に行ってみることにした。JISCのサイトからデータベース検索が利用できるので、そこからJIS Q 27000:2019のPDFを閲覧した。

主張された事象（3.21）又は処置の発生，及びそれを引き起こしたエンティティを証明する能力。

「事象」「エンティティ」などの語の用法になじみがないせいか、これだけではあまりピンと来なかった。上記引用箇所にある3.21周辺でこれらの用語の定義を確認する。

事象

ある一連の周辺状況の出現又は変化。
注記 1　事象は，発生が一度以上であることがあり，幾つかの原因をもつことがある。
注記 2　事象は，何かが起こらないことを含むことがある。
注記 3　事象は， ”事態（incident）” 又は ”事故（accident）”と呼ばれることがある。
なお，”事態” は”インシデント”とも表現される。

よくわからないままインシデントという言葉を使ってきていたがここで言及されていることがわかった。注記2がいまいち具体例がわかりづらいが、「動作されると想定していたものが動作しない」ようなケースが該当すると解釈した。

例: システムの異常検知用アラートが発生しない

• 期待される動作: セキュリティ侵害（例: 不正アクセスや異常なトラフィック）が発生した場合、システムがアラートを発する。
• 起こらなかったこと: 異常が発生してもアラートが発生しない。
• 影響:
  • インシデントの早期検知ができない。
  • セキュリティ侵害が拡大する可能性。
• 事象として扱う理由: 本来発生すべきアラートが発生しないことは、セキュリティの機能不全。

エンティティ

エンティティ自体の項目は設けられていなかったが、3.5の「認証」の項目の注記で説明がはさまれていた。

注記　エンティティは，”実体”，”主体” などともいう。情報セキュリティの文脈においては，情報を使用する組織及び人，情報を扱う設備，ソフトウェア及び物理的媒体などを意味する。

設備などだけではなく人もエンティティに含まれることに留意。

実例を使って考えてみる

試しに実例を考えてみて、先の項目の否認防止の定義と照らし合わせてみる。

電子契約システムにおける否認防止

• シナリオ:
  1. A社とB社が電子契約システムを利用して契約を締結。
  2. 契約後にB社担当者が「私は署名していない」と否認。
• 定義に基づく要素:
  • 事象: 契約書に署名が行われたという事実。
  • 処置: 契約書への署名という具体的な操作。
  • エンティティ: 契約に関与した当事者（A社担当者、B社担当者）。
• 否認防止の役割:
  • 契約書にはB社担当者の電子署名が付与されており、署名に使われた秘密鍵は本人のみが所持していることが証明可能。
  • また、署名時に付与されたタイムスタンプにより、署名が行われた日時も証明可能。
• 結果:
  • B社担当者が署名した事象、署名という処置、そしてそれを行ったエンティティであるB社担当者を特定可能。
  • 否認防止技術により、契約の正当性が担保される。

否認防止を支える技術の例

電子署名

データに署名を施すことで、署名者本人の関与を証明する技術。

• 仕組み:
  • 公開鍵暗号方式を利用。
  • 署名者が秘密鍵で署名を行い、受信者が公開鍵で検証する。
• 具体例: 契約書、申請書などの電子文書への署名。

ブロックチェーン技術

分散型台帳を利用し、データの改ざんを防止する仕組み。

• 利点:
  • データが複数のノードに保存されるため、改ざんが非常に困難。
  • 取引履歴の透明性が高い。
• 具体例: 実は仮想通貨領域以外でも利用されている
  • 医療業界: サスメド社では、臨床試験データの記録とモニタリングにブロックチェーンを活用。データの改ざん防止や透明性向上を実現し、試験結果の信頼性を高めている。
  • 物流業界: 日本通運では、サプライチェーン全体の追跡に利用され、偽造品混入防止や効率的な輸送管理が可能になっている。

まとめ

情報セキュリティの「否認防止」について、定義と実例を交えて解説した。

• 否認防止とは: 操作や出来事を後から否定できないようにする仕組み。
• 実現するための技術: 電子署名やブロックチェーン技術が改ざん防止や信頼性確保に貢献。
  • 具体例: 電子契約での電子署名や、臨床試験データ管理、サプライチェーン管理におけるブロックチェーンの活用。

調べてるうちに気になったこと・感想

• JIS Q 27000のような公の文章を書く際のフォーマットが気になった。
  • 全角と半角が入り混じっていて引用するのが大変だった。
• ブロックチェーン技術は仮想通貨関連での利用の印象ばかりあったので、否認防止のために利用できるだけでなく他のドメインでも利用がすでに行われていると知って驚いた。

References (参考文献・サイト等)

• Jisc 日本産業標準調査会. (n.d.-b). https://www.jisc.go.jp/index.html
• 1．「消費者行動の理論」のポイント. (n.d.-a). http://www2.toyo.ac.jp/~kawano/lec-semi/mat/mic2.pdf
• N-Ozawan. (2024, July 4). デジタル署名で否認防止をする. 株式会社アイオス. https://www.ios-net.co.jp/blog/20231108-1696/
• 【保存版】超わかりやすいブロックチェーンの基礎知識｜ビジネスブログ｜ソフトバンク. ソフトバンク. (n.d.). https://www.softbank.jp/biz/blog/business/articles/201804/blockchain-basic/
• 【活用事例あり】ブロックチェーンのビジネス活用が成長の鍵！？世界で急成長する市場規模にも注目！ - freeconsultant.jp for business. freeconsultant.jp for Business 【活用事例あり】ブロックチェーンのビジネス活用が成長の鍵！？世界で急成長する市場規模にも注目！. (2024, August 16). https://mirai-works.co.jp/business-pro/business-column/b57_blockchain/