ブルーワ・ナッシュ・モデル|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ブルーワ・ナッシュ・モデル
             

ブルーワ・ナッシュ・モデル

ブルーワ・ナッシュ・モデル(Brewer-Nash Model)とは、チャイニーズウォールモデルとも呼ばれる、情報セキュリティにおいて利益相反を防止するためのアクセス制御モデルの一種です。このモデルは、特定のユーザーが業務や操作を行う際に、利害関係が衝突する情報にアクセスすることを制限することで、不正行為や情報漏洩を防ぐことを目的としています。特に、金融機関や法務関係、コンサルティング業界など、競合するクライアント情報を取り扱う職場で活用されています。

ブルーワ・ナッシュ・モデルは、1979年にデビッド・ブルーワ(David Brewer)とマイケル・ナッシュ(Michael Nash)によって提案されたモデルで、機密性と整合性の確保を重視するアクセス制御モデルです。

ブルーワ・ナッシュ・モデルの特徴

ブルーワ・ナッシュ・モデルの特徴は、主に以下の点にあります。

1. 利益相反の防止

ユーザーが競合する複数のクライアント情報にアクセスできないようにすることで、利益相反を防ぎます。たとえば、金融アナリストが異なる企業の競合情報にアクセスすることで、不正な利益を得る行為を防止します。

2. コンフリクト・オブ・インタレスト(COI)クラスの設定

情報資産やクライアントデータを、利害関係が衝突するカテゴリ(COIクラス)に分類します。ユーザーは特定のCOIクラスの情報にアクセスした場合、それと競合するCOIクラスの情報にはアクセスできなくなります。

3. 動的アクセス制御

アクセス制御は「動的」であり、ユーザーがアクセスするデータに応じて制限が変更されます。たとえば、一度特定のクライアントの情報にアクセスすると、その競合企業のデータにはアクセスできないというルールが適用されます。

4. 選択と自由の組み合わせ

ユーザーがどのクライアントの情報にアクセスするかは自由ですが、一度アクセスすると、その行為によって以後のアクセスが制限されます。このように、選択の自由とアクセス制限が組み合わさったアクセス制御方法が特徴です。

ブルーワ・ナッシュ・モデルの基本的な仕組み

ブルーワ・ナッシュ・モデルは、情報やデータに対してアクセス制御を行うため、3つの主要な要素に基づいて設計されています。

1. COI(利益相反)クラス

情報資産は、競合するグループに基づいて「COIクラス」と呼ばれるカテゴリに分類されます。たとえば、A社とB社が競合関係にある場合、A社とB社のデータは異なるCOIクラスに分類されます。

2. オブジェクト

オブジェクトは、COIクラスに属する個々の情報やファイルを指します。ユーザーは特定のオブジェクトにアクセスすることで、関連するCOIクラス全体に関するアクセス制御が発生します。

3. ユーザーアクセス制御

ユーザーが特定のCOIクラスのオブジェクトにアクセスした時点で、別のCOIクラスに属する情報にアクセスすることは制限されます。これにより、異なる競合クラスの情報に同時アクセスすることで生じる不正行為や利益相反を防ぎます。

ブルーワ・ナッシュ・モデルの適用例

ブルーワ・ナッシュ・モデルは、特に次のような業界やケースで利用されています。

  • 金融機関:銀行や投資会社では、金融アナリストが複数の企業の競合情報を取り扱う際、ブルーワ・ナッシュ・モデルに基づき、特定の企業情報にアクセスした後に競合企業の情報を閲覧できないようにすることで、不正取引を防止します。
  • 法律事務所:法律事務所では、弁護士が複数のクライアントを担当する場合に、競合関係にあるクライアントの情報に同時アクセスできないように制限を設けることで、守秘義務を保護します。
  • コンサルティングファーム:コンサルタントが複数のクライアントに助言する際、クライアント間で利益が相反する可能性がある情報に同時アクセスできないように制限します。

ブルーワ・ナッシュ・モデルの利点と欠点

利点

  • 利益相反の管理が可能:ブルーワ・ナッシュ・モデルにより、同一ユーザーが競合する情報にアクセスするリスクが軽減され、企業の信頼性が向上します。
  • 動的アクセス制御:ユーザーの行動に応じてアクセス制御が適用されるため、柔軟な対応が可能です。
  • 不正行為の抑止:競合する情報に同時アクセスできないため、意図的な情報漏洩や利益相反の抑止効果が期待できます。

欠点

  • 管理が複雑:COIクラスの設定やアクセス権の管理が複雑になるため、管理コストがかかります。
  • ビジネスの柔軟性に影響:過度にアクセス制御を厳格化すると、業務効率が低下し、必要な情報にアクセスできないことで業務遂行が妨げられるリスクがあります。

まとめ

ブルーワ・ナッシュ・モデル(Brewer-Nash Model) は、特に競合する情報を扱う業務において、利益相反を防止するためのアクセス制御モデルです。情報をCOIクラスに分類し、ユーザーが競合情報にアクセスできないようにすることで、データの守秘性や整合性が保たれます。このモデルは、金融機関や法律事務所、コンサルティングファームなど、競合情報を取り扱う環境で利用され、企業の信頼性とコンプライアンス維持に貢献しています。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。