セキュリティの概要

セキュアド

 今日からセキュアド資格取得に向けた本格的な勉強を開始。
 継続と学習効率向上、そして自己満足のためにその日の学習内容をUPする事にする。
 

情報セキュリティの概念

 機密性 完全性 可用性 の3要素。
  →ISMS認証基準(http://www.isms.jipdec.jp/v2/index.html)

機密性

 アクセスコントロール。許可されたユーザーのみが情報にアクセスできる状態を保つ事。
 具体的手法としてはユーザーの権限の調整など。

完全性

 情報がシステム内で改ざん・破壊されないこと。
 情報が完全な状態で保管・利用される状態。
 暗号化などがその実現手段。

可用性

 システムの利便性。
 ユーザーインターフェースの使いやすさではなく、安定してサービスが供給されるという意味

セキュリティの目的

 情報資産の保護
 信用獲得
 それらのもたらす経営上の利益

セキュリティは組織の目的達成の手段に過ぎないということが重要。

コスト

 セキュリティはコスト項目であり、利益を生まない状況もあり得る。
 利益を生む投資、損害を防ぐ投資。
 それぞれのROI(Return On Investiment:投下資金が生んだメリットを示す指標)を考えて分配・実行を。

情報資産

 保護されるべき対象。
 守るべきものが明確になればそれに対する脅威も特定できる。

脅威

 情報資産に悪影響を及ぼす要素
 脅威を特定すればそれに対応する方策も定まる。

情報資産管理台帳

 情報資産と脅威を関連付け、それぞれに対する対策を検討するツール
 内容例
  ・ルータの種類
  ・ファイアウォール
  ・マシン情報(OS、スペック、ソフトウェアの種類とバージョン、パッチ適用状態)  ・社員情報
  ・顧客情報
 業務上利用される情報資産と、コンピュータシステムに於ける情報をそれぞれ掲載。

脆弱性

 リスクを顕在化させる状況
 脅威が脆弱性と一体化して初めて被害が生まれる。
 脅威をなくすのは困難でも脆弱性は除去できることが多い
 
 情報資産 脅威 脆弱性 この3つがすべて揃ってはじめてリスクが生じる。
 セキュリティはそれぞれを把握し、リスクを一定水準以下に留める活動。

脅威の種類

 一般的に 物理的脅威、技術的脅威、人的脅威に大別される。

物理的脅威

 主に災害や侵入者による物理的破壊・盗難、過失による破損、機器の故障。
 対策としては防災設備とバックアップ機材の設置、作業スペースとサーバールームの分離や入退室管理など。

技術的脅威

 ソフトウェアのバグ、ウイルス、不正アクセスなど。論理的な盗難や破壊。
 自己開発したソフトやシステムがバグ等によりもたらす脅威もこれに含まれる。
 ex)不正アクセス、盗聴、ウィルス、バグ
 対策としては認証の設定や暗号化、アンチウィルスソフトの導入とソフトウェアの更新。システム導入時の試験運用の徹底など。

人的脅威

 利用者のミスによる破壊や漏洩、内部犯行など。
 対策としてはセキュリティリテラシーの向上や継続的な教育、マニュアルの明文化、チェック機能の充実など。

脆弱性の種類と対策

物理的脆弱性

 物理的脅威が顕在化する要因。
 火災を誘発しやすい環境や防災設備の欠如、故障時対策の不備など。
 対策としては、
 ・防災設備の設置
   →免震・防火以外に、UPS設置や遠隔地でのバックアップなども含む
 ・ファシリティチェック
   →入退室管理など
 ・機器故障対策
   →システムの2重化、データのバックアップ、コンティンジェンシープラン(危機管理計画)の策定
 ・盗難対策
  →施錠、警備の徹底。認証や暗号化など

技術的脆弱性

 アクセスコントロール
  →内部人員でも不必要な情報にはアクセスさせない
 ウィルス対策
 セキュリティホールの除去
 綿密な導入試験

人的脆弱性

 組織管理
  →安全性と業務効率・社員の士気等のバランスを踏まえて実施
 過失
  →マニュアルの策定、フールプルーフ機構(エラーチェック)の導入
 権限の明確化
  →チェックの多重化と、各部署の領分の明確な差別化。