クラークウィルソンモデル（Clark-Wilson Model）

クラークウィルソンモデルとは、ひとことで言えば、商業環境におけるデータの完全性を保証するために「整形式トランザクション」と「職務分離」を核とするセキュリティモデルです。このモデルでは、ユーザーはデータに直接アクセスできず、必ず検証済みのプログラム（TP：変換手続き）を介してのみデータを操作できます。たとえば、銀行の窓口担当者は直接データベースを編集できず、承認済みの送金プログラムを通じてのみ取引を実行します。ビバモデルが数学的な格子構造で完全性を扱うのに対し、クラークウィルソンは実務的な業務フローに即した完全性モデルである点が特徴です。監査の仕組み（IVP：完全性検証手続き）も組み込まれており、商業データ処理の現場に最も適用しやすいモデルとされています。