このページでは,基本情報技術者試験をはじめとする情報処理技術者試験で必須となる,情報セキュリティ対策についてシンプルにまとめています。情報セキュリティ対策の基本的な考え方である抑止・予防・検知・回復に加え,人的・物理的・技術的セキュリティ対策について,試験対策として分かりやすく整理しています。
情報セキュリティ対策とは
情報セキュリティ対策とは,リスクを低減するための対策をいいます。
※ リスク対応で,リスク低減という対応をとるものについては管理策を策定し,リスクを受容可能なレベルに管理する
※ リスク対応については,「情報セキュリティ管理の基礎まとめ(リスク対応とは)」を参照
情報セキュリティ対策の分類(目的と概要)
情報セキュリティ対策のポイントは,技術的な対策だけでなく,人的な対策や物理的な対策も行うことです。
情報セキュリティ対策の方法
抑止とは
人による脅威(犯罪,事故,過失など)に対して,不正を行うと必ず見つかるという意識を植え付けるなどして脅威の発生を抑止する機能です。監視カメラの設置や,教育の徹底などがあります。
予防とは
脅威に対する脆弱性を減らすことで,リスクの現実化を予防したり,影響を軽減したりする機能です。定期保守や最新のセキュリティパッチの適用などがあります。
検知とは
脅威が発生したり,リスクが現実化した場合に,すぐに検知して担当者に通知したりすることにより,被害の拡大を防ぐ機能です。IDSの設置などがあります。
※ IDS(Intrusion Detection System;侵入検知システム)…ホストやネットワークの通信を監視し,不正アクセスを検知するシステム。不正アクセスを検知した場合,(メールなどで)システム管理者に通知し,ログを記録する。IDSの詳細は,「侵入検知システム(IDS)と侵入防止システム(IPS)の基礎まとめ」を参照
回復とは
セキュリティ事故が発生した場合などに,正常な状態に回復するための機能です。バックアップの実施などがあります。
人的セキュリティ対策とは
人的セキュリティ対策とは,(教育や訓練などにより)人に対して行うセキュリティ対策のことをいいます。セキュリティに関する問題は,内部関係者が原因で発生することが多いため,軽視せず対策しなければなりません。
IPA「組織における内部不正防止ガイドライン」
IPAでは,「組織における内部不正防止ガイドライン」を公表しています。このガイドライン(「2-1.内部不正防止の基本原則」)では,状況的犯罪予防の考え方を応用した次の5つを基本原則としています。
※ 状況的犯罪予防論…不正のトランアングルを考慮した犯罪の予防論。「情報セキュリティの基礎まとめ(不正のメカニズムとは)」を参照
犯行を難しくする(やりにくくする)
対策を強化することで犯罪行為を難しくする
捕まるリスクを高める(やると見つかる)
管理や監視を強化することで捕まるリスクを高める
犯行の見返りを減らす(割に合わない)
標的を隠したり,排除したり,利益を得にくくすることで犯行を防ぐ
犯行の誘因を減らす(その気にさせない)
犯罪を行う気持ちにさせないことで犯行を抑止する
犯罪の弁明をさせない(言い訳させない)
犯行者による自らの行為の正当化理由を排除する
採用時に行うセキュリティ対策
従業員などの採用時や,臨時職員の受入時,請負業者との契約時などに信用度をチェックし,情報セキュリティに関する職務や責任を文書で通知するなどします。
誤操作に対する対策
誤操作を防ぐために,次のような対策を行います。
- 認証技術やアクセス制御を行い,操作者を牽制する。具体的には,使用権限のないファイル等にアクセスした際に,エラーメッセージや警告メッセージを表示するなどする
- システムの設計段階で,誤操作が起きにくいような設計(フールプルーフ)にする。具体的には,誤操作を起こしにくい画面レイアウトや操作手順,操作方法などを標準化する
- データの入力段階で,正当性をチェックする。具体的には,フォーマットチェックやニューメリックチェックなどを行う
- 誤操作を修正するための機能を備える。具体的には,バックアップを実施するなどする
※ 認証については,「認証の基礎まとめ」を参照
※ アクセス制御については,「アクセス制御の基礎まとめ」を参照
※ フールプルーフについては,「システム構成の基礎まとめ(システムの高信頼化とは)」を参照
※ フォーマットチェック…データが,決められた書式に従っているかをチェックすること
※ ニューメリックチェック…数値以外のデータが含まれていなかをチェックすること
※ バックアップについては,「データベース管理システム(DBMS)の基礎まとめ(バックアップファイルとは)」を参照
情報セキュリティに関する教育や訓練
情報セキュリティに関する教育や訓練は,(情報セキュリティポリシーの説明など)少なくとも年1回は行うようにします。
※ 採用時にも,教育や訓練を行うようにする
ユーザー認証とアクセス権の管理(基本の考え方)
ユーザー認証としてパスワード認証を使用する場合は,第三者に不正使用されにくい安全なパスワードを設定し管理しなければなりません。
また,必要な情報以外にアクセスできないように,ユーザーに対してアクセス権も設定しなければなりません。
※ 安全なパスワードについては,「認証の基礎まとめ(安全なパスワード)」を参照
※ パスワードの管理ができていない(パスワードを付箋に書いてディスプレイなどに貼っておくなど)場合は,生体認証などの導入を検討する
※ アクセス権については,人事異動など,人が移動する際に見直す必要がある(退職の場合は,アカウントを無効にする)
広告
物理的セキュリティ対策とは
物理的セキュリティ対策とは,建物や設備を対象としたセキュリティ対策のことをいいます。
バックアップセンターの設置とは
災害などへの対策として,業務システムの存在する地域とは別の地域にバックアップセンターを設置するという方法があります。
| ホットサイト | 待機系サイトを稼働させ,常にプログラムの変更やデータの同期をとり,災害などの発生時には,短時間で業務を再開する方式 |
| ウォームサイト | 待機系サイトにハードウェアを設置して,定期的にプログラムやデータをバックアップした媒体を搬入し,災害などの発生時には,搬入しておいた媒体を使用してシステムを復元し,業務を再開する方式 |
| コールドサイト | 待機系サイトに電源設備などを準備しておき,災害などの発生時に,ハードウェアを設置して,プログラムやデータをバックアップした媒体を搬入してシステムを復元し,業務を再開する方式 |
ゾーニングとは
ゾーニングとは,建物や部屋を,機能や用途により,いくつかの区画(ゾーン)に分けることをいいます。各区画で扱う情報のセキュリティレベルを考慮して,ゾーニングするようにします。
| 一般ゾーン | 外部者が自由に出入りできる区画。受付などが該当する |
| セキュアゾーン | 従業員が出入りできる区画。場合によっては,コピー機などのメンテナンス業者が出入りすることもある |
| ハイセキュアゾーン | 許可された従業員だけが出入りできる(重要な情報や機密文書が保管されている)区画 |
入退館管理とは
入退館管理では,入館時や退館時に,セキュリティが厳しいことを意識させることが重要です。
入館時
- 身分証明書を提示させる
- 外部者の場合は,訪問先の担当者への確認や,入館管理台帳への記入などを行う
- 不必要な物(記録媒体やカメラなど)を持ち込まないよう持ち物検査を行う
退館時
- 外部者の場合は,持ち物検査などを行う
その他
- 監視カメラなどにより入館者の記録を行う
- 入館中の行動が正当なビジネス行為であったことを確認できるようにしておく
- 入退館の時間や妥当性をチェックする
入退室管理とは
入退室管理では,扱う情報のレベルに応じて管理します。
入室時
- 外部者の入室を禁止する部屋の場合は,(簡単な)生体認証(指紋認証など)や電子ロックなどを行う
- 機密管理を厳密に行う場合は,(高度な)生体認証(手のひら認証や顔認証など)や電子ロック+複数の認証の組み合わせなどを行う
ピギーバックとは
ピギーバックとは,入退室をする人の後ろについて認証をすり抜ける行為をいいます。ピギーバックを防ぐためには,教育をするなどして対応します。
クリアスクリーンとは
クリアスクリーンとは,席を離れる際に,ログアウトやスクリーンロックをするなどして,画面の内容を盗み見られたり第三者にコンピューターを操作されないようにすることをいいます。
※ 機密情報などの漏洩を防ぐための対策
クリアデスクとは
クリアデスクとは,席を離れる際に,机の上の書類や記録媒体(USBメモリーなど),コンピューターなどを放置したままにしないようにすることをいいます。
※ 機密情報などの漏洩を防ぐための対策
盗難対策とは
盗難対策には,次のようなものがあります。
- 重要な書類や記録媒体については,重要度に応じて,施錠できる書庫や金庫などに保管する(記録媒体については,さらに,ファイルを開く際の認証機能やデータの暗号化などの対策もした方がよい)
- 重要な情報については使用制限を設け,許可なく印刷することや,記録媒体への書き込みなどができないようにする
- ノートパソコンなどの情報機器については,施錠して保管したり,ワイヤー付きの盗難防止ロック(セキュリティワイヤー)を取り付けたりする
ハードウェア障害に対する対策とは
ハードウェア障害に対する対策には,次のようなものがあります。
- 定期的にデータのバックアップを行う
- システムを冗長構成にする
- 耐障害性(フォールトトレランス)を考慮した設計や運用を行う
- RAIDを採用したハードディスクを使用し,可用性を高める
- (突然の停電やブレーカー断などに対応するため)電源対策を行う
※ バックアップについては,「データベース管理システム(DBMS)の基礎まとめ(バックアップファイルとは)」を参照
※ システムの冗長構成については,「システム構成の基礎まとめ(システム構成の基本)」を参照
※ 耐障害性を考慮した設計については,「システム構成の基礎まとめ(システムの高信頼化とは)」を参照
※ RAIDについては,「システム構成の基礎まとめ(RAID(Redundant Array of Independent (Inexpensive) Disk)とは)」を参照
※ 電源対策については,「ファシリティマネジメントの基礎まとめ(UPS(Uninterruptible Power Supply;無停電電源装置)とは)」を参照
広告
技術的セキュリティ対策とは
技術的セキュリティ対策とは,暗号化や認証,アクセス制御などの技術による対策のことをいいます。
※ 暗号化については,「暗号化の基礎まとめ」を参照
※ 認証については,「認証の基礎まとめ」を参照
※ アクセス制御については,「アクセス制御の基礎まとめ」を参照
※ マルウェア対策については,「マルウェア対策の基礎まとめ」を参照
※ ネットワークのセキュリティについては,「ネットワークのセキュリティの基礎まとめ」を参照
※ データベースのセキュリティについては,「データベースのセキュリティの基礎まとめ」を参照
SQLインジェクション攻撃対策については,「SQLインジェクション攻撃対策の基礎まとめ」を参照
※ ソフトウェアのセキュリティについては,「ソフトウェアのセキュリティの基礎まとめ」を参照
ディジタルフォレンジックスとは(証拠性と目的)
ディジタルフォレンジックスとは,法的な紛争が生じた際に,コンピューターなどに残るデータを収集・分析し,その法的な証拠性を明らかにする手段の総称のことをいいます。たとえば,ログを法的な根拠とする場合は,改ざんされないようにする必要があります。
※ ログについては,NTPを用いてサーバー同士の時刻を同期する必要もある(時刻が正確である必要がある)
まとめ
今回は,情報セキュリティ対策について,抑止・予防・検知・回復の考え方や,人的・物理的・技術的対策を中心にシンプルにまとめてみました。情報セキュリティ分野では,複数の対策を組み合わせてリスクを低減する考え方が重要です。試験では,各対策の目的や特徴を理解しておきましょう。
理解が進んだら,過去問題等にもチャレンジしてみてください。
