【真面目版】情報セキュリティマネジメントの責任追跡性とは？意味・具体例・守る方法を徹底解説

会話

---

責任追跡性とは

責任追跡性（Accountability）とは、情報システムにおける操作や行為を記録し、後から「誰が、いつ、何をしたか」を明確にできる性質のこと。

情報セキュリティの三要素（機密性・完全性・可用性）に加え、ISO/IEC 27001などの国際規格では「真正性」「否認防止」「信頼性」と並ぶ重要な要素とされています。

簡単に言えば、責任追跡性は 「証拠を残す仕組み」。不正や事故が起きたときに、原因や責任を明らかにできることがポイントです。

---

責任追跡性が重要な理由

• 企業の場合：顧客データが削除されたとき、誰が操作したのか追跡できなければ原因究明も再発防止もできない
• 個人の場合：自分のアカウントから不正送金が行われたとき、ログがなければ「自分はやっていない」と証明できない
• 社会全体：行政システムや選挙システムで操作履歴が残らなければ、不正が疑われても検証できず、制度そのものへの信頼が崩壊する

責任追跡性が欠けていると、不祥事は雑草のように伸びていきます。最初は小さな芽でも、放置すればやがて手がつけられない問題になり、発覚したときにはもう手遅れです。

責任追跡性の具体例

• 日常生活：ネットショッピングの「注文履歴」 → 誰がいつ購入したか追跡できる
• ビジネス：社内システムで「誰がどのファイルを開いたか」をログに記録 → 内部不正の抑止につながる
• ITシステム：銀行のオンラインバンキングの「ログイン履歴」「送金履歴」 → 不正アクセスの証拠になる

責任追跡性は「防犯カメラ」と同じ。普段は意識しなくても、トラブルが起きたときに「証拠」として役に立つ。

しかも、記録は自動的に残る仕組みであることが理想です。「記録が残っている」と意識するだけで、不正をしようとする気持ちも自然と萎んでいく。だからこそ、責任追跡性は組織にとって最強の抑止力になるのです。

責任追跡性を確保する方法

1. ログ管理

• システムやアプリケーションの操作履歴を記録
• ログの改ざん防止（WORMストレージやハッシュ値で保護）

2. アクセス制御

• ユーザーごとにIDを発行し、共有アカウントを禁止
• 誰が操作したかを明確にする

3. 認証の強化

• パスワードだけでなく二要素認証を導入
• なりすましを防ぎ、正しい利用者を特定

4. 監査とモニタリング

• 定期的にログを監査し、不審な操作を検知
• SIEM（セキュリティ情報イベント管理）ツールでリアルタイム監視

---

---

責任追跡性を脅かすリスク

• 共有アカウントの利用：誰が操作したか特定できない
• ログの未収集・未保存：証拠が残らない
• ログの改ざん：不正を隠蔽される
• 監査不足：記録があっても活用されない

---

---

まとめ

責任追跡性は、情報セキュリティにおいて 「証拠を残し、責任を明確にする」 ための重要な要素です。

ログや証拠を残すことは否認防止にもつながりますし、仕組みだけでなく、お互いに柔軟性を持ち尊敬し合い、報連相を徹底することで不正の芽を早めに摘み取ることもできます。

結局、責任追跡性は “信頼を失わないための最低条件” 。これを整えているかどうかで、組織の未来は大きく変わるのです。

---