セキュリティ全体像
  1. 1. 情報の時代
  2. 2. 情報セキュリティとは何か?
    1. 2.1. 情報セキュリティの対象
    2. 2.2. 情報セキュリティの必要性
    3. 2.3. 情報セキュリティとは
  3. 3. 過去のセキュリティ事件の分析
    1. 3.1. 過去のセキュリティ事故からの考察
  4. 4. セキュリティ対策
    1. 4.1. 内部犯罪対応策
      1. 4.1.1. ユーザID管理
        1. 4.1.1.1. ユーザID申請プロセス
        2. 4.1.1.2. ユーザID検証
        3. 4.1.1.3. アクセス管理
          1. 4.1.1.3.1. アクセス権付与
          2. 4.1.1.3.2. アクセス権検証・承認
      2. 4.1.2. アクセス監視
    2. 4.2. 外部からのハッキング対策
      1. 4.2.1. 技術的対策
      2. 4.2.2. アクセス監視
      3. 4.2.3. 常なる技術情報の入手と対策
    3. 4.3. 誤操作などの対応策
    4. 4.4. 方針,規程,手続書の策定
    5. 4.5. セキュリティ監視
      1. 4.5.1. 物理監視
        1. 4.5.1.1. 入退館,室管理
        2. 4.5.1.2. 監視カメラ
      2. 4.5.2. システム監視
        1. 4.5.2.1. システムログ作成
        2. 4.5.2.2. リアルタイム監視
        3. 4.5.2.3. 定期分析
          1. 4.5.2.3.1. ログ分析
          2. 4.5.2.3.2. ログ追跡
      3. 4.5.3. 定期機能確認
    6. 4.6. セキュリティ対策の社内への公開
    7. 4.7. 職務分掌(役割分担)の確認
    8. 4.8. 着任,離任対応
    9. 4.9. Winny,ShareなどP2P対策
      1. 4.9.1. Winnyを使う心理
      2. 4.9.2. Winnyの怖さを教える
    10. 4.10. セキュリティ研修
  5. 5. 考慮すべき事項
    1. 5.1. 外部からのリスク対応
    2. 5.2. 内部からの情報漏えい
      1. 5.2.1. 内部からの情報漏えいは内部犯行
      2. 5.2.2. 内部からの情報漏えいは協力会社からが多い
      3. 5.2.3. 社員の不勉強,作業規程,作業時間の少なさから生じる問題
        1. 5.2.3.1. 技術的,プロセス的理解不足
        2. 5.2.3.2. 作業工程,作業時間などの不足による問題
      4. 5.2.4. 社員のミス
    3. 5.3. 内部からの規程不遵守による情報漏えい
    4. 5.4. 事故前提の検討
    5. 5.5. 情報セキュリティ対策は心理戦
    6. 5.6. 変化への対応
    7. 5.7. 取扱いの強弱
  6. 6. セキュリティ事件事例から学ぶ
  7. 7. 今後の注意
    1. 7.1. ソーシャルエンジニアリング
    2. 7.2. 標的攻撃型ウイルス

情報セキュリティの全体像を書いてみたいと思って,書き始めた文章

  1. 現在は情報主導の時代です。全てが情報で動いています。

    ビジネスも生活も勉強も遊びも情報が中心になって動いています。

    情報を活用することで,何でも出来るようになりました。

    情報を悪用すること,情報を盗むことでも沢山の犯罪などが発生しています。

    情報を盗まれないようにすることが,情報セキュリティの1つの課題です。

    2011/8/1 更新テスト

  2. 一般的には,機密性,完全性,可用性が必要だと言われています。

    機密性とは,アクセスを認められた者だけがアクセスできる状態を確保すること。

    完全性とは,情報が破壊、改ざん又は消去されていない状態を確保すること。

    可用性とは,情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること。

    と定義されています。

  3. JNSAのセキュリティ事件分析から

    1. 件数的には,誤操作,管理ミスが異常に多い。情報漏えいしてしまったことは問題ではあるが,漏えい人数,内容などからすると,微々たる漏えい事件が殆どで,これらは本当の問題ではない。

      本当の問題は,内部犯行による情報漏えいで,金銭目的などが多く,件数,内容ともに大問題なケースが殆どである。発生件数は多くないが一番注意すべき原因である。

      3. 具体的には,新たな脆弱性&セキュリティ事件・事故情報の収集と対策。

    3. これが一番難しい。

      人間は間違えを犯すのが当然だから。

      従って,対応策は

      ・研修=言い聞かせ,怖さを教え,リテラシーの向上狙う

      ・ミスを犯してもリスクを最小化する対策をとる

      ・事件・事故発生時の対応策を考えておく

    4. 方針から規定,手続の流れ,構造の構築が必要。

      またセキュリティ手続は,判り易く,誰でもが守れるセキュリティでないといけない。表面的には素晴らしいが,何だか判らないとか,実際には実行し難いとか,実行効果が薄い,などの対策,ルールでは社員は付いてこない。

    6. けん制機能

    7. 特にIT業界では,お客さまの機密情報,個人情報/データを沢山扱っており,取扱いの職務分掌(役割分担)の確認が必要です。

      この役割分担に従って,データへのアクセス権の付与が必要になります。

      システムを扱っている人は,何でもかんでも出来るアクセス権限を持っていることが多くあります。

      余分なアクセス権限を持つことは,セキュリティ事故があった場合に,疑われる元になります。

      昔からの仕事のやり方で,何でも出来る権限=特権権限を全員で共有して使っている場合はおおくあります。

      これは一番危険なユーザID管理です。

      役割を明確に分けて,役割のそったアクセス権限を付与しましょう。

      2. Winnyを使って事件を引き起こしたときの問題を教える。

        企業の重要情報,個人情報が漏えいすると,企業として大変な目にあうとの説明が一般的だが,Winnyで漏えいしてしまった個人の問題が告げられていない。

        Winnyを介して個人情報,重要情報を漏えいしてしまった人の末路を教えるべき。

    1. 外部からの攻撃などへの対応は,今のところ通常のウイルス対策,PCソフト,ネットワーク/サーバ機器などの定期更新,セキュリティ対策で,大体対応できる。

      但し,社員が適切に対応していることを確認する必要はある。

      1. 内部からの情報漏えいは,発生件数は少ないが,漏えいする量を考えると,一番問題。

        そのための対策が重要。

        これにはシステムへのアクセスログの監視,定期分析などの実施と,不審アクセスにたいしては,本人へも含めた調査の実施が必要。

        不審アクセス者本人への直接調査実施により,会社全体にログ監視,分析を実施していることのデモンストレーションとなり,けん制機能となる。

      2. 内部からの情報漏えいは,協力会社,パートナーからの漏えいが多い。

        従い,情報の外部持ち出しの禁止,システムテストなどで本番データを使う場合のマスク,社外データ持ち出し時の暗号化,PCの暗号化は必須。

        これを守っていることを定期確認するプロセスも必須である。

        また,協力会社社員の契約満了時,社員の退社時,などには,機密情報,個人情報を確実に削除したことを確認するプロセスの確立,実施が必須である。

        1. ネットワーク機器,サーバなどにセキュリティ的対処が必要であるにもかかわらず,実施していない。セキュリティ対処を知らずに,セキュリティ問題が発生することなどがある。

          これらを発見した場合は,速やかに技術研修,セキュリティプロセス研修を実施し,定期的なカリキュラムに組み込むべき。

          個々の社員の問題ではない。

        2. 作業時間などが少なく,普段セキュリティ問題が発生しないために無視されてしまう作業などは,不要であれば作業工程を削除など改善する。実施しないことで問題がある場合は,作業時間の不足にならないように,標準工程時間の再検討が必要。

          コスト,時間で締め付けすぎることも,セキュリティ事故を引き起こす原因でもある。

      4. 人間はミスをする。これはなくすことはできない。しかし,最低限のミスにすること,ミスが発生しても,影響が最低限になるようにするのが,セキュリティ担当部門の役割。

        また,メールの発信ミスなどは,対策ソフトも出てきており,システムで対応できる策は,どんどん実施し,社員の負担を軽減し,ミスをより少なくすることも,セキュリティ担当部門の役割である。

    3. PCへのウイルス対策ソフトの導入,定期パターンファイルの更新,PC,情報持ち出し禁止,本番データの利用時のマスキング,暗号化などを守らない社員は多い。安易に考えて,セキュリティ対策に従わない社員である。

      このような社員には,事件発生時の怖さをセキュリティ教育によって,徹底的に教育すべきである。

      教育によって対処するしかない。

    4. セキュリティ事故は発生することを前提に検討すべきです。

      しかし,発生確率,発生時の被害規模などを,企業の特性,文化によって,検討すべきです。

      何でもかんでも,100%対応は難しいし,非常に費用の掛かります。

    5. 会社,プロジェクトの参加時,定期的なセキュリティ研修で,セキュリティの重要性,情報漏えい発生時の問題などを言い聞かせるべき。

      ログ監視などをしていて,何かあると犯人が特定できることを明示して,犯罪を犯す気持ちをそぐことが重要。

    7. 昔,企業のホームページを改ざんされて,マスコミが大きく記事に取り上げた。しかし情報セキュリティ事件としては,大した話ではない。マスコミの記事に乗せられることなく,冷静に事件,問題を分析して,対応策を検討すべき。自社にとって,発生確率の低い事象,発生したとしても問題が小さい場合は,対策策定の優先順位は引くくなります。

      問題に対して,リスクテイクする対応策もあります。全てにたいして,強行な対応策を策定する必要はありません。

はてなブックマーク ブックマーク数 livedoor Clip クリップ数