読み方 : せきにんついせきせい

責任追跡性【accountability】責任追及性

概要

責任追跡性とは、情報システムの操作や情報の閲覧、編集などについて、誰がいつどのような操作を行ったか遡って追跡できる性質のこと。システム利用者の行動を記録・追跡できるようにすることで、不正行為の調査や運用管理に役立てることができる。
責任追跡性のイメージ画像

サイバーセキュリティでは主に外部の攻撃者からの防御や攻撃の記録が重視されるが、責任追跡性を確保・維持することで、正規の権限を持った内部犯による不正行為などにも対処しやすくなる。責任追跡性を確保することで本人が後から行為を否認することができないようにすることを「否認防止」(non-repudiation)という。

責任追跡性を技術的に担保する主な手段は操作ログの記録・保全であり、システムへのログインログアウトファイルの閲覧・編集・削除、権限変更、設定変更などの操作を時系列で記録することが基本となる。ログ信頼性を高めるためには、記録の改ざんや消去を困難にする仕組みが必要であり、書き込み専用ストレージへの保存、ハッシュ値による完全性検証、タイムスタンプの付与などの手法が用いられる。

責任追跡性は、ISO/IEC 27001をはじめとする情報セキュリティマネジメントの標準規格においても重要な概念として位置づけられており、機密性・完全性・可用性という情報セキュリティの三大特性を補完するセキュリティ特性の一つとして扱われる。JIS Q 27000では “accountability” の訳語とされ、「エンティティの行動及びその行動の結果に対して、当該エンティティが一義的に帰属できることが確保されている特性」と定義されている。

他の辞典等による「責任追跡性」の解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。