データの完全性を守る!ビバ・モデル入門
セキュリティを知りたい
先生、「ビバ・モデル」って何か教えてください。
セキュリティ研究家
「ビバ・モデル」はね、データをきちんと守るための仕組みの一つだよ。 例えば、大切な報告書があるとしよう。誰でも書き換えられると困るよね?そこで、書き換えられる人、読める人、それぞれにランクをつけて、管理するんだよ。
セキュリティを知りたい
なるほど。ランクがあるんですね。 どうやってランクを決めるんですか?
セキュリティ研究家
それはデータの重要度によるね。例えば、会社の機密情報なら社長が最高のランクで、新入社員は低いランクになる。重要なデータほど、ランクの高い人しかアクセスできないようにするんだよ。
ビバ・モデルとは。
「情報の安心を守るための仕組み、『ビバ・モデル』の解説。ビバ・モデルは、正式にはビバ完全性モデルと呼ばれ、昔からある情報の安心を守るための仕組みです。この仕組みは、ケネス・J・ビバさんという人が、1975年に軍のコンピューターで情報の信頼性を保つために考え出しました。ビバ・モデルでは、情報を扱う人やプログラム、そして情報そのものに、それぞれ信頼度を表すレベルが設定されます。情報の扱いに関するルールは、このレベルによって細かく決められています。例えば、ある人やプログラムは、自分よりもレベルの高い情報は書き換えられませんし、自分よりもレベルの低い情報は読み込めません。また、レベルの低い処理は、レベルの高い処理に対して動作を求めることもできません。このビバ・モデルは、情報の漏洩を防ぐためのベル・ラパドゥラ・モデルという仕組みを補うために作られました。さらに、リファレンス・モニターやセキュリティ・カーネルといった、安全を守るための基本的な仕組みも取り入れています。情報にアクセスする際には、必ずリファレンス・モニターを通過することで、決められた保護ルールが守られるようになっています。ビバ・モデルの基本的な考え方は、以下の通りです。(2023年2月2日修正)」
ビバ・モデルとは?
– ビバ・モデルとは?
-# ビバ・モデルとは?
ビバ・モデルとは、コンピュータシステムにおける情報の信頼性を守るための指針です。情報の信頼性とは、情報が間違いなく、かつ、不正な変更が行われていない状態を指します。例えば、銀行の預金残高や病院の診療記録など、重要な情報は高い信頼性が求められます。
ビバ・モデルは、このような重要な情報が悪意のある利用者やプログラムによって書き換えられることを防ぐためのルールを定めています。具体的には、情報の正当性を保証するための三つの要素、すなわち-可用性-、-完全性-、-機密性-を柱としています。
* -可用性-は、許可された利用者が、必要な時に必要な情報へアクセスできることを保証します。これは、システムの停止やデータの損失を防ぐことで実現されます。
* -完全性-は、情報が正確で完全な状態に保たれることを保証します。これは、不正な変更や破壊から情報を保護することで実現されます。
* -機密性-は、許可された利用者だけが情報にアクセスできることを保証します。これは、アクセス制御や暗号化などの技術によって実現されます。
ビバ・モデルは、これらの要素をバランスよく実現することで、システム全体の信頼性を高め、重要な情報を様々な脅威から守ります。
| 要素 | 説明 | 実現方法 |
|---|---|---|
| 可用性 (Availability) | 許可された利用者が、必要な時に必要な情報へアクセスできることを保証する。 | システムの停止やデータの損失を防ぐ。 |
| 完全性 (Integrity) | 情報が正確で完全な状態に保たれることを保証する。 | 不正な変更や破壊から情報を保護する。 |
| 機密性 (Confidentiality) | 許可された利用者だけが情報にアクセスできることを保証する。 | アクセス制御や暗号化などの技術を用いる。 |
完全性レベルによる管理
– 完全性レベルによる管理
システムの安全性を保つためには、システム内のあらゆる要素に「完全性レベル」を設けて管理することが有効です。この手法はビバ・モデルと呼ばれ、データやプログラム、ユーザーといった要素一つひとつに、その信頼度に応じて完全性レベルを割り当てます。
完全性レベルは、「高」「中」「低」といった段階的な設定が一般的です。例えば、機密情報を含む重要なデータには「高」、一般公開されているデータには「低」といったようにレベルを設定します。プログラムやユーザーについても同様で、重要なシステムにアクセスできるプログラムや管理者権限を持つユーザーには高い完全性レベルが設定されます。
このように完全性レベルを設定することで、異なるレベル間での情報のやり取りを制限することができます。例えば、低い完全性レベルのプログラムが、高い完全性レベルのデータにアクセスすることを禁止する、といった制限をかけることで、情報漏洩や不正なデータ改ざんのリスクを低減できます。
完全性レベルによる管理は、システム全体のセキュリティ強化に役立つだけでなく、個々の要素に対する適切なセキュリティ対策を講じる上でも有効です。それぞれの要素に求められるセキュリティレベルを明確化することで、より的確で効率的な対策を講じることが可能になります。
システムの規模や特性に応じて、適切な完全性レベルを設定し、セキュリティ対策に活用していくことが重要です。
| 要素 | 完全性レベル | 説明 |
|---|---|---|
| 機密情報を含むデータ | 高 | 重要なデータであり、厳重な保護が必要 |
| 一般公開されているデータ | 低 | アクセス制限が緩くてもよいデータ |
| 重要なシステムにアクセスできるプログラム | 高 | システムに大きな影響を与える可能性があるため、高い信頼性が必要 |
| 管理者権限を持つユーザー | 高 | 強力な権限を持つため、厳格な認証と認可が必要 |
アクセス制御のルール
– アクセス制御のルール
-# アクセス制御のルール
情報セキュリティにおいて、データの機密性と完全性を保つことは非常に重要です。
そのために、「どの情報に誰がアクセスできるのか」を明確に定義し、制限する必要があります。
これを-アクセス制御-と呼びます。
アクセス制御を実現するためのモデルの一つに、データの重要度に応じてレベル分けを行う方法があります。
このモデルでは、アクセスする側にもレベルが設定され、
-自身のレベルよりも重要なデータにはアクセスできない-ように制限されます。
具体的には、二つのルールに基づいてアクセスが制御されます。
1. -読み取り- 自分よりも低いレベルのデータは自由に閲覧できますが、自分よりも高いレベルのデータは閲覧できません。
例えば、機密情報である給与データは、人事部などアクセス権限を持つ一部の社員のみ閲覧可能ですが、一般社員は閲覧できません。
2. -書き込み- 自分よりも低いレベルのデータに対しては、情報を追記したり、変更したりすることが可能です。
しかし、自分よりも高いレベルのデータに対しては、書き込みを行うことはできません。
例えば、一般社員は自分の担当顧客に関する情報は更新できますが、会社の財務情報や人事情報などを変更することはできません。
これらのルールを厳格に適用することで、
-信頼性の低い立場から、より重要な情報が保管されている場所に影響が及ぶことを防ぐ-ことができます。
情報漏洩やデータの改ざんなど、セキュリティ上のリスクを大幅に減らすことができるのです。
| レベル | 読み取り | 書き込み |
|---|---|---|
| 高 | 高レベル以下のデータを読み取り可能 | 高レベル以下のデータに書き込み可能 |
| 低 | 低レベル以下のデータを読み取り可能 | 低レベル以下のデータに書き込み可能 |
現実世界での適用例
– 現実世界での適用例
-# 現実世界での適用例
情報へのアクセス権限を、それぞれの立場や必要性に応じて適切に管理することは、データの安全性を高める上で非常に重要です。この概念を具体的に示す例として、医療機関における患者の電子カルテへのアクセス制御が挙げられます。電子カルテには、患者の個人情報や病歴、治療内容など、取り扱いに注意を要する情報が記録されています。そのため、これらの情報へのアクセスは、医師や看護師、事務職員など、それぞれの職務に応じて厳密に制限されるべきです。例えば、医師は診断や治療に必要な全ての情報にアクセスできる一方で、看護師は担当する患者のケアに関する情報に限定的にアクセスできるようにするといった具合です。
また、金融機関においても、顧客の預金口座へのアクセス制御は非常に重要です。銀行は、顧客の預金残高や取引履歴などの機密情報を厳重に保護する義務を負っています。そのため、顧客の口座情報へのアクセスは、本人確認を徹底した上で、預金や振込などの取引を行うために必要な最小限の情報に制限されます。さらに、不正な取引を防止するために、取引内容や金額に応じて、複数の担当者による承認を必須とする多重承認システムを導入している金融機関も少なくありません。
このように、情報へのアクセス権限を適切に管理することは、医療機関や金融機関に限らず、あらゆる組織においてデータの安全性を確保するために必要不可欠な取り組みと言えるでしょう。
| 組織例 | アクセス制御の対象 | アクセス権限の詳細 |
|---|---|---|
| 医療機関 | 患者の電子カルテ | 医師は全ての情報にアクセス可能、看護師は担当患者のケアに関する情報に限定的にアクセス可能など、職務に応じてアクセス権限を制限 |
| 金融機関 | 顧客の預金口座 | 本人確認を徹底した上で、預金や振込などの取引に必要な最小限の情報へのアクセスに制限。不正取引防止のため、多重承認システムを導入している場合もある。 |
ビバ・モデルの重要性
– ビバ・モデルの重要性
-# ビバ・モデルの重要性
現代社会は、ありとあらゆる情報がデジタル化され、ネットワークを通じてやり取りされています。この情報化社会において、情報の信頼性を保つことは、私たちの生活や経済活動、そして社会全体の安定にとって非常に重要になっています。
このような状況下で、情報の信頼性を維持し、システム全体の安全性を高めるための考え方として注目されているのが「ビバ・モデル」です。「ビバ・モデル」は、情報セキュリティの要素を「機密性」「完全性」「可用性」の3つに分類し、それぞれを維持するための対策を体系的に考えるための枠組みです。
まず、「機密性」とは、許可された者だけが情報にアクセスできるようにすることを指します。例えば、個人のプライバシー情報や企業秘密など、アクセス制限が必要な情報は、適切な方法で保護しなければなりません。
次に、「完全性」とは、情報が正確で完全であることを保証することを意味します。情報が改ざんされたり、破壊されたりすると、その情報を利用する人々に誤った判断をさせてしまう可能性があります。情報の完全性を保つためには、改ざんや破壊から情報を守る対策が必要です。
最後に、「可用性」とは、許可された者がいつでも情報にアクセスできる状態を指します。必要な時に情報が利用できないと、業務に支障が出たり、サービスを提供できなくなったりする恐れがあります。そのため、システムの障害や災害などによって情報へのアクセスが遮断されないよう、適切な対策を講じる必要があります。
ビバ・モデルは、システム管理者やセキュリティ担当者だけでなく、私たちユーザー一人ひとりが情報セキュリティを考える上で、非常に重要な考え方です。私たちは、ビバ・モデルの考え方を理解し、日頃からデータの機密性、完全性、可用性について意識することが大切です。
| 要素 | 説明 | 例 |
|---|---|---|
| 機密性 (Confidentiality) | 許可されたユーザーのみが情報にアクセスできることを保証する。 | 個人情報、企業秘密、パスワードなどへのアクセス制限 |
| 完全性 (Integrity) | 情報が正確かつ完全であることを保証し、不正な変更を防ぐ。 | データの改ざん防止、デジタル署名、バージョン管理など |
| 可用性 (Availability) | 許可されたユーザーが必要なときに情報にアクセスできることを保証する。 | システムの冗長化、バックアップ、災害対策など |