目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. 具体的な活用例・対策
  4. 試験ではこう出る!
  5. 【確認テスト】理解度チェック

対象試験と出題頻度

詳細をクリックして確認
対象試験:
情報セキュリティマネジメント試験
基本情報技術者試験
応用情報技術者試験
出題頻度:
★★★☆☆
ランクB(標準)

用語の定義

責任追跡性(Accountability)とは、一言で言うと「誰が・いつ・何をしたかを後から追跡できる状態を保つこと」のことです。

イメージとしては、「オフィスの入退室記録やコンビニの防犯カメラ映像」と同じです。


何か問題が起きたとき、「誰が」「いつ」「どのような操作をしたか」を特定できなければ、原因究明も責任の所在も明らかにできません。責任追跡性は、その追跡を可能にする仕組みです。

解説

責任追跡性は、情報セキュリティの基本3要素(CIA)に加えて重要視される拡張要素の一つです。ISO/IEC 27001などの国際規格では、「真正性」「否認防止」「信頼性」と並んで、情報セキュリティの7要素として位置づけられています。

  • システムやデータに対する操作履歴(ログ)を記録・保存する
  • 問題発生時に「誰の操作が原因か」を特定できる状態を維持する

責任追跡性が確保されていないと、不正アクセスや情報漏えいが発生しても犯人を特定できず、再発防止策も立てられません。また、内部不正の抑止力としても機能します。

「記録されている」という意識があるだけで、不正行為を思いとどまる効果があるのです。

 

具体的な活用例・対策

責任追跡性を確保するために、以下のような技術や仕組みが活用されています。

  • アクセスログの記録: 誰がいつどのファイルやシステムにアクセスしたかを自動的に記録する
  • 操作ログ(監査ログ): データの作成・変更・削除など、すべての操作履歴を保存する
  • ログ管理システム(SIEM) 複数のシステムのログを一元管理し、異常を検知・分析するツール
  • タイムスタンプ ログに正確な日時を記録し、時系列での追跡を可能にする
  • ユーザーID管理: 共有アカウントを禁止し、個人を特定できるID運用を徹底する

試験ではこう出る!

情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験で出題されます。以下のキーワードとセットで覚えましょう。

【重要キーワード】

  • 情報セキュリティの7要素(CIA + 真正性・責任追跡性・否認防止・信頼性)
  • ログ管理・監査ログ・アクセスログ
  • SIEM(Security Information and Event Management)
  • 内部不正対策・フォレンジック

試験問題で「操作履歴を記録し、後から追跡できるようにする」「誰が何をしたかを特定できる」といった記述があれば、それは「責任追跡性」に関する記述です。

【確認テスト】理解度チェック

ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。

Q. 責任追跡性(Accountability)に関する説明として、最も適切なものはどれでしょうか?

  • A. 情報が改ざんされておらず、正確で完全な状態を維持すること
  • B. 誰が・いつ・何をしたかをログなどで記録し、後から追跡できる状態を保つこと
  • C. 利用者やデータが本物であることを確認・証明し、なりすましを防止すること

正解と解説を見る

正解:B

解説:
責任追跡性(Accountability)は、システムやデータに対する操作履歴をログとして記録し、問題発生時に「誰が・いつ・何をしたか」を追跡できる状態を維持することです。
Aは「完全性(Integrity)」、Cは「真正性(Authenticity)」の説明です。いずれも情報セキュリティの重要な要素ですが、責任追跡性とは異なる概念です。