CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

完全性

 


<完全性>Integrity

ある情報やプロセスが「故意」「誤り」に関係なく「意図しない」状態に変更ができないように、情報を保護することです。

CISSP試験的には「改ざん」「バックアップ」といった要素と深い関係にあるというこを覚えておいてください。他の要素と比較するとイメージがわきにくい要素ですが、要は「えっ、この情報って本来〇〇であるはずなのに」「知らないうちに口座の残高が減っている」みたいに「本来あるべき値がどのような理由にせよ、意図せず変更される」というのを防ぐというのが重要なポイントです。

 

また、「完全性は機密性」とも深い関係にあります。

前提として、セキュリティの世界では「許可されていない人」=「悪者」とみなします。(現実的には少し寂しいですが、CISSP試験的にもこう考えます)

その前提で言えば、機密性のところで紹介したように、例えば「アクセスコントロール」を適切に行うことで完全性についても保護されるということになります。

一つの保護が完全性と機密性の2つの要素の保護となるケースは他にもたくさんありそうなので、想像してみると良いかもしれません。

 

また、完全性は「改ざん」「誤操作」等の脅威から常に脅かされてますので、頭の片隅に置いてください!

その他、完全性が損なわれる実例として、以下などをイメージください!

 

  • 「悪い奴がデータや通信の内容を故意に変更する(=改ざんする)」
  • 「うっかりとExcelのデータを上書きして保存してしまう」
  • 「システムの不具合により、正しいデータ(ファイルなど)が破損する」

見落としがちでな点として、「改ざん」はイメージがつきやすいですが、「誤操作」のような故意ではい脅威についても対策を検討する必要があるという点です。

 例えば「重要なファイルは権限のある者のみがアクセスでき、変更時は別の人物からのレビューを必須とする」みたいな対策があるかもしれません。

(ちなみに、この例の対策は情報処理安全確保支援士試験の模範解答でよくみる回答ですので、受験される方は参考にして頂ければと思います!)

 

  

f:id:CyberSEALs:20190509115825j:plain