間違えやすい!情報セキュリティの真正性と完全性

技術・開発

データを記録する、ということに対して国際標準(ISO)で定められていることをご存知でしょうか。

管理人は電子カルテの開発に携わったことがありますが、たとえば医療事故が起きたとき、データベースに保存されている電子カルテの内容が改ざんされてないことを保証できるか?みたいな話です。

そのあたりのデータの「真偽」を扱う概念がISO 15489 で「記録特性」として定められており、なかでも「真正性と完全性」という概念がしばしば混同されやすいのです。

正しい記録の要件

ISO で定められる要件は以下の4つです。

  • (1)「真正性」(Authenticity)
  • (2)「完全性」(Integrity)
  • (3)「信頼性」(Reliability)
  • (4)「利用性」(Useability)

今回はこのうち真正性と完全性について解説します。

真正性 (Authenticity)

真正性は、情報がその主張される「出所」から実際に来ていることを保証する概念です。つまり、情報がその正当な送信者によって送られたこと、またはデータが指定された正当なソースから得られたことを示します。

たとえば万引きの瞬間を捕らえた写真を撮ったとしましょう。

真正性は、その写真が「万引きが起きた場所、起きた時刻で撮影されたことを保証」します。店員が撮ったのであれば、撮影者がその店員自身であることも含みます。

Integrity(完全性)

そして完全性は、データが不正アクセス、改ざん、削除などがないことを保証する概念です。

過不足がない完全なデータであり、後から編集もされておらず、記録した状態そのままであることです。

先程の万引きの写真の例だと、 JPEG のような非可逆圧縮のフォーマットで保存した場合に完全性は失われます。ですので厳密な完全性が求められる場合はRAW形式や「ロスレスJPEG」という特殊なフォーマット等で記録します。

もっとも厳密さが求められるケースでは、デジタルな画像がそれ自体、そもそも完全性を持たないとされることもあります。とは言えそれだと電子化されたシステムなんて永遠に運用できないので、デジタル署名やら何やら付加情報を付けていれば一応は完全性を保証していいよ、ってことになっています。
(※完全性が「ある」事と、完全性を「保証する」事は、また別の話になる点にご注意下さい)

絵画の贋作

さらに理解を深めるため「有名な画家の描いた絵」を例にしてみましょう。

その画家とは別人がそっくりに描いた「贋作」は、本物ではないので「真正性」がないということになります。しかし贋作者本人が描いたままの状態で誰も手を加えてないなら「完全性」はある、となるのです。

逆に、本物の絵が少し汚れて、その絵の一部が見えなくなった状態を考えてみます。その場合も本物であることは間違いないので「真正性」はあるということになります。そして絵としては不完全なので「完全性」が失われている、となるわけですね。

ついでの話題:画像補正と完全性

ツイッターでバズった話題なのですが最近は画像補正で AI が勝手に写真を書き換えるようです。

これは撮影したそのものでなく、手が加えられているため「完全性」がない、ということになります。

しかしそもそも一般的なスマホで撮ったデジタル画像は、、AI補正でなくとも、明度を変えたりアンシャープマスク等で輪郭を強調したり、保存の際に勝手に編集していることが多いです。

こういった補正処理をどう扱うか、完全性としてどこまで許されるかはグレーゾーンなのですが、

  • 撮影された内容そのものに対する編集か、影響しない部分への編集か
  • 可逆的な編集か、元に戻せない編集か

このあたりで恣意的に判断しているのが実情です。

医療画像など、元から証拠として扱われる可能性が高い現場ではグレーゾーンにならないよう補正を行わない方式で保存すると定められているのですが、我々一般市民が日常で撮った写真がどこまで証拠として完全性を担保できるかは、面倒ですがケースバイケースで人間が判断せざるを得ないことになるでしょう。

今年(2024)は攻殻機動隊の作中で「笑い男事件」が起きた年なので、こういうデジタル画像の真贋が危ぶまれる日常になりつつあるのは、時代が追いついてきた感がありますね!

コメント

タイトルとURLをコピーしました