企業の機密情報保護に効くクラーク・ウィルソン・モデルとは?
セキュリティを知りたい
先生、「クラーク・ウィルソン・モデル」って、どんなものか教えてください。
セキュリティ研究家
「クラーク・ウィルソン・モデル」は、会社の大切な情報を守るための考え方だよ。情報を「制限データ」と「非制限データ」に分けて、重要な「制限データ」は厳重に管理するんだ。
セキュリティを知りたい
「制限データ」は、どうやって管理するんですか?
セキュリティ研究家
「制限データ」は、誰でも自由に書き換えたりできないように、「完全性ポリシー」っていうルールを設けて、決められた手順でしか変更できないようにするんだ。銀行の預金データなんかは、まさにこのモデルで管理されているんだよ。
クラーク・ウィルソン・モデルとは。
企業の情報保護を強化するための考え方として、『クラーク・ウィルソン・モデル』というものがあります。これは、1987年にデイビッド・D・クラーク氏とデイビッド・R・ウィルソン氏によって発表されました。このモデルでは、情報システム内のデータを、重要なデータとそうでないデータに分け、重要なデータに対しては、情報の内容が正しいことを保証するためのルールを適用します。重要なデータに対しては、情報の正当性を確認する手順と、情報をある状態から別の状態に変える手順の二つを踏みます。情報の正当性を確認する手順では、データが適切な状態であるかを調べ、情報をある状態から別の状態に変える手順では、データを別の形に変えます。データの処理は、常に情報の内容が正しいことを保証するためのルールの監視と制御の下で行われ、人ではなく、情報をある状態から別の状態に変える手順のみがデータにアクセスし、変更することができます。クラーク・ウィルソン・モデルは、以下の9つのルールに基づいています。
クラーク・ウィルソン・モデルの概要
– クラーク・ウィルソン・モデルの概要クラーク・ウィルソン・モデルは、企業が保有する重要な情報資産を不正アクセスや改ざんから保護するための、強固なセキュリティ対策の枠組みを提供するモデルです。1987年にデビッド・D・クラーク氏とデビッド・R・ウィルソン氏によって提唱され、従来のアクセス制御モデルとは一線を画すアプローチで、特に金融機関など、データの正確性と信頼性が何よりも重要となる環境において広く活用されています。従来のアクセス制御モデルでは、誰がどの情報にアクセスできるかを厳密に管理することに重点が置かれていました。しかし、クラーク・ウィルソン・モデルでは、データの整合性を保つことに主眼を置き、不正な変更から情報を守ることを重視しています。このモデルでは、業務処理を「アクセス三重統制」「職務分掌」「監査追跡」という三つの主要な原則に基づいて設計することで、不正リスクを最小限に抑えようとします。アクセス三重統制は、重要な処理を行う際に、二人の担当者によるチェックと承認を必須とすることで、誤りや不正を防止します。職務分掌は、一つの業務を複数の担当者に分割することで、一人の担当者による不正行為を困難にします。そして、監査追跡は、全ての処理内容を記録し、追跡可能にすることで、不正行為が発生した場合の原因究明と責任追及を容易にします。これらの原則を組み合わせることで、クラーク・ウィルソン・モデルは、多層的な防御を実現し、情報資産をあらゆる脅威から保護します。
| クラーク・ウィルソン・モデルの原則 | 説明 |
|---|---|
| アクセス三重統制 | 重要な処理を二人以上の担当者でチェック・承認することで、誤りや不正を防ぎます。 |
| 職務分掌 | 一つの業務を複数の担当者に分割することで、一人の担当者による不正を困難にします。 |
| 監査追跡 | 全ての処理内容を記録・追跡可能にすることで、不正発生時の原因究明と責任追及を容易にします。 |
データとプロセスの分離
– データとプロセスの分離
このモデルは、データとプロセスを明確に分けるという考え方が根幹にあります。
企業が扱う情報は、重要な情報である「制限データ」と、そうでない「非制限データ」に分類されます。
「制限データ」は、顧客情報や企業秘密など、漏洩すると企業に大きな損害を与える可能性のある機密性の高い情報です。このため、厳重に管理する必要があります。
具体的には、アクセス制限や変更履歴の記録など、厳格なセキュリティ対策が求められます。
アクセスする場合には、担当者への申請や承認手続きなど、決められた手順を踏む必要があります。
一方、「非制限データ」は、公開情報や社内連絡など、機密性の低い情報です。
こちらは、業務効率を落とさない範囲で、柔軟に取り扱うことができます。
このように、データとプロセスを分離することで、重要な情報へのアクセスを制限し、セキュリティリスクを低減することができます。
また、情報へのアクセス経路を明確にすることで、万が一情報漏洩が発生した場合でも、原因究明を迅速に行うことができます。
| 項目 | 制限データ | 非制限データ |
|---|---|---|
| 定義 | 漏洩すると企業に大きな損害を与える可能性のある機密性の高い情報 (例:顧客情報、企業秘密など) |
機密性の低い情報 (例:公開情報、社内連絡など) |
| 管理 | 厳重に管理する必要がある | 業務効率を落とさない範囲で柔軟に取り扱う |
| セキュリティ対策 | アクセス制限、変更履歴の記録など厳格なセキュリティ対策が必要 | – |
| アクセス手順 | 担当者への申請や承認手続きなど、決められた手順が必要 | – |
完全性維持のための二つのプロセス
– 完全性維持のための二つのプロセス重要な情報や機密性の高い情報にアクセスし、変更を加える際には、「完全性検証プロセス」と「変更プロセス」と呼ばれる二つのプロセスが非常に大切です。「完全性検証プロセス」は、データが常に正確で信頼できる状態であるかを確かめるための仕組みです。これは、例えるなら、会社の会計システムで帳簿の残高が常に合っているか、銀行口座の入出金履歴が正しく記録されているかなどを確認するようなものです。このプロセスによって、データの誤りや不正な改ざんをいち早く発見し、問題の拡大を防ぐことができます。一方、「変更プロセス」は、決められた手順に従って、許可された変更のみをデータに反映させることを保証します。これは、例えば請求書の発行や承認など、重要な操作を行う際に、特定の権限を持つ担当者だけが操作できるように制限するようなものです。このプロセスにより、悪意のある第三者によるデータの改ざんや、誤った操作によるデータの損失を防ぎます。「変更プロセス」は、データの信頼性を維持するために、厳格なルールと手順に基づいて設計されるべきです。
| プロセス名 | 説明 | 例 |
|---|---|---|
| 完全性検証プロセス | データが常に正確で信頼できる状態であるかを確かめるための仕組み。データの誤りや不正な改ざんをいち早く発見し、問題の拡大を防ぐ。 | 会社の会計システムで帳簿の残高が常に合っているか、銀行口座の入出金履歴が正しく記録されているかなどを確認する。 |
| 変更プロセス | 決められた手順に従って、許可された変更のみをデータに反映させることを保証するプロセス。悪意のある第三者によるデータの改ざんや、誤った操作によるデータの損失を防ぐ。 | 請求書の発行や承認など、重要な操作を行う際に、特定の権限を持つ担当者だけが操作できるように制限する。 |
厳格なアクセス制御
– 厳格なアクセス制御
情報資産を保護する上で、アクセス制御は非常に重要な要素です。アクセス制御とは、データやシステムへのアクセスを許可されたユーザーのみに限定する仕組みを指します。このアクセス制御をより強固なものにするためのモデルの一つに、「クラーク・ウィルソンモデル」と呼ばれるものがあります。
クラーク・ウィルソンモデルでは、データへのアクセス方法を厳格に定めています。具体的には、ユーザーはデータに対して直接アクセスすることができず、「変更プロセス」と呼ばれる特定の手続きを経ることによってのみ、間接的にデータへのアクセスや変更が可能となります。
この「変更プロセス」は、予め定義された手順に従って実行される必要があり、その内容としては、データへのアクセス要求、変更内容の妥当性検証、変更ログの記録などが含まれます。
このように、クラーク・ウィルソンモデルでは、直接アクセスを制限し、「変更プロセス」というワンクッションを置くことで、悪意のあるユーザーや不正なプログラムによるデータの改ざんリスクを大幅に低減することができます。
例として、銀行の預金口座情報を考えてみましょう。クラーク・ウィルソンモデルを適用する場合、ユーザーは自分の口座情報に直接アクセスすることはできません。残高照会や振込を行うためには、それぞれに対応した「変更プロセス」を実行する必要があります。これらのプロセスは、ユーザー認証や取引情報の検証などを経て実行され、不正操作のリスクを抑制します。
このように、クラーク・ウィルソンモデルは、データの整合性を保ちながら、セキュリティレベルを高めるための有効なアクセス制御モデルと言えるでしょう。
| 項目 | 内容 |
|---|---|
| アクセス制御モデル | クラーク・ウィルソンモデル |
| 概要 | ユーザーはデータに直接アクセスせず、「変更プロセス」を通じて間接的にアクセス・変更を行う |
| 変更プロセスの内容 | アクセス要求、変更内容の妥当性検証、変更ログの記録など |
| メリット | 悪意のあるユーザーや不正なプログラムによるデータ改ざんリスクを大幅に低減 |
| 例 | 銀行の預金口座情報へのアクセス(残高照会、振込) |
不正行為の防止
– 不正行為の防止
企業や組織において、不正行為を未然に防ぐことは、健全な運営を続ける上で非常に重要です。不正行為は、金銭的な損失だけでなく、組織の信頼失墜や従業員の士気低下など、多大な影響を与える可能性があります。
不正行為を防止するための有効な手段の一つとして、「権限の分離」という考え方があります。これは、特定の業務に対して、複数の人が関与するように権限を分割することで、一人の担当者にすべての権限が集中することを避けるというものです。
例えば、ある商品を購入する際に、購入の申請、承認、発注、検収、支払いといった一連のプロセスを、それぞれ異なる担当者が行うようにします。こうすることで、仮に一人の担当者が不正を働こうとしても、他の担当者によるチェックが入るため、不正を未然に防ぐことができる可能性が高まります。
この考え方は、アメリカの犯罪学者であるクラーク・ウィルソンとエドウィン・サザーランドが提唱した「不正のトライアングル」にも関連しています。この理論では、不正行為が発生するには、「動機」「機会」「正当化」の3つの要素が必要だとされています。権限の分離は、「機会」を減らすことで、不正行為のリスクを低減することに繋がります。
不正行為を完全に防ぐことは難しいかもしれませんが、組織として適切な対策を講じることで、リスクを最小限に抑えることは可能です。
| 不正行為防止策 | 説明 | 関連する理論 |
|---|---|---|
| 権限の分離 | 業務を細分化し、複数人で担当することで、一人の担当者への権限集中を避ける。例えば、購買業務を申請、承認、発注、検収、支払いの工程に分け、それぞれ異なる担当者を配置する。 | 不正のトライアングル(動機、機会、正当化の3要素が不正行為発生の要因) – 権限の分離は「機会」を減らす。 |
適用事例
– 適用事例金融機関や医療機関など、情報の正確性が特に求められる組織では、情報の機密性、完全性、可用性を高いレベルで維持するために、様々な対策が取られています。これらの対策の中でも、クラーク・ウィルソンモデルは、その有効性から広く採用されています。例えば、銀行システムにおける預金の引き出しや送金といった取引は、クラーク・ウィルソンモデルの原則に基づいて厳格に管理されています。具体的には、一つの取引を複数の担当者でチェックしたり、取引記録を詳細に残したりすることで、不正な取引や担当者によるミスを未然に防いでいます。医療機関においても、患者の電子カルテへのアクセスや変更履歴の記録に、クラーク・ウィルソンモデルが活用されています。患者の電子カルテは、治療方針の決定や投薬の判断など、非常に重要な情報を含んでいます。そのため、アクセス権を持つ担当者を限定したり、誰がいつどのような変更を加えたかを記録したりすることで、情報の信頼性を確保し、医療ミスを防いでいます。このように、クラーク・ウィルソンモデルは、様々な組織において、情報の機密性、完全性、可用性を高いレベルで維持するために重要な役割を果たしています。
| 組織 | クラーク・ウィルソンモデル適用例 | 目的 |
|---|---|---|
| 金融機関 | – 預金の引き出しや送金に複数の担当者でチェック – 取引記録の詳細な記録 |
不正な取引や担当者によるミス防止 |
| 医療機関 | – 患者カルテへのアクセス権を持つ担当者を限定 – カルテ変更履歴の記録 |
情報の信頼性確保、医療ミス防止 |