基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,情報セキュリティ対策についてシンプルにまとめています。情報セキュリティ対策の概要,方法(抑止,予防,検知(IDS(侵入検知システム)),回復),人的セキュリティ対策(IPA「組織における内部不正防止ガイドライン」,採用時などの対策,誤操作に対する対策(認証,アクセス制御,フールプルーフ,フォーマットチェック,ニューメリックチェック,バックアップ),情報セキュリティに関する教育や訓練,ユーザー認証とアクセス制御(安全なパスワード)),物理的セキュリティ対策(バックアップセンターの設置(ホットサイト,ウォームサイト,コールドサイト),ゾーニング(一般ゾーン,セキュアゾーン,ハイセキュアゾーン),入退館管理,入退室管理,ピギーバック,クリアスクリーン,クリアデスク,盗難対策,ハードウェア障害に対する対策(バックアップ,システムの冗長構成,耐障害性(フォールトトレランス),RAID)),技術的セキュリティ対策(暗号化,認証,アクセス制御,ネットワークのセキュリティ)について説明しています。さまざまな対策がありますので,一つ一つ丁寧に頑張りましょう。
情報セキュリティ対策
情報セキュリティ対策とは,リスクを低減するための対策をいいます。
※ リスク対応で,リスク低減という対応をとるものについては管理策を策定し,リスクを受容可能なレベルに管理する
※ リスク対応については,「情報セキュリティ管理-リスク対応 -情報処理シンプルまとめ」を参照
情報セキュリティ対策の分類
情報セキュリティ対策のポイントは,技術的な対策だけでなく,人的な対策や物理的な対策も行うことです。
情報セキュリティ対策の方法
抑止
人による脅威(犯罪,事故,過失など)に対して,不正を行うと必ず見つかるという意識を植え付けるなどして脅威の発生を抑止する機能です。監視カメラの設置や,教育の徹底などがあります。
予防
脅威に対する脆弱性を減らすことで,リスクの現実化を予防したり,影響を軽減したりする機能です。定期保守や最新のセキュリティパッチの適用などがあります。
検知
脅威が発生したり,リスクが現実化した場合に,すぐに検知して担当者に通知したりすることにより,被害の拡大を防ぐ機能です。IDSの設置などがあります。
※ IDS(Intrusion Detection System;侵入検知システム)…ホストやネットワークの通信を監視し,不正アクセスを検知するシステム。不正アクセスを検知した場合,(メールなどで)システム管理者に通知し,ログを記録する。IDSの詳細は,「侵入検知システム(IDS)と侵入防止システム(IPS) -情報処理シンプルまとめ」を参照
回復
セキュリティ事故が発生した場合などに,正常な状態に回復するための機能です。バックアップの実施などがあります。
人的セキュリティ対策
人的セキュリティ対策とは,(教育や訓練などにより)人に対して行うセキュリティ対策のことをいいます。セキュリティに関する問題は,内部関係者が原因で発生することが多いため,軽視せず対策しなければなりません。
IPA「組織における内部不正防止ガイドライン」
IPAでは,「組織における内部不正防止ガイドライン」を公表しています。このガイドライン(「2-1.内部不正防止の基本原則」)では,状況的犯罪予防の考え方を応用した次の5つを基本原則としています。
※ 状況的犯罪予防論…不正のトランアングルを考慮した犯罪の予防論。「情報セキュリティ-不正のメカニズム -情報処理シンプルまとめ」を参照
犯行を難しくする(やりにくくする)
対策を強化することで犯罪行為を難しくする
捕まるリスクを高める(やると見つかる)
管理や監視を強化することで捕まるリスクを高める
犯行の見返りを減らす(割に合わない)
標的を隠したり,排除したり,利益を得にくくすることで犯行を防ぐ
犯行の誘因を減らす(その気にさせない)
犯罪を行う気持ちにさせないことで犯行を抑止する
犯罪の弁明をさせない(言い訳させない)
犯行者による自らの行為の正当化理由を排除する
採用時などの対策
従業員などの採用時や,臨時職員の受入時,請負業者との契約時などに信用度をチェックし,情報セキュリティに関する職務や責任を文書で通知するなどします。
誤操作に対する対策
誤操作を防ぐために,次のような対策を行います。
- 認証技術やアクセス制御を行い,操作者を牽制する。具体的には,使用権限のないファイル等にアクセスした際に,エラーメッセージや警告メッセージを表示するなどする
- システムの設計段階で,誤操作が起きにくいような設計(フールプルーフ)にする。具体的には,誤操作を起こしにくい画面レイアウトや操作手順,操作方法などを標準化する
- データの入力段階で,正当性をチェックする。具体的には,フォーマットチェックやニューメリックチェックなどを行う
- 誤操作を修正するための機能を備える。具体的には,バックアップを実施するなどする
※ 認証については,「認証 -情報処理シンプルまとめ」を参照
※ アクセス制御については,「アクセス制御 -情報処理シンプルまとめ」を参照
※ フールプルーフについては,「システム構成-システムの高信頼化 -情報処理シンプルまとめ」を参照
※ フォーマットチェック…データが,決められた書式に従っているかをチェックすること
※ ニューメリックチェック…数値以外のデータが含まれていなかをチェックすること
※ バックアップについては,「データベース管理システム(DBMS)(物理設計)-トランザクションの管理-障害回復-バックアップファイル -情報処理シンプルまとめ」を参照
情報セキュリティに関する教育や訓練
情報セキュリティに関する教育や訓練は,(情報セキュリティポリシーの説明など)少なくとも年1回は行うようにします。
※ 採用時にも,教育や訓練を行うようにする
ユーザー認証とアクセス権の管理
ユーザー認証としてパスワード認証を使用する場合は,第三者に不正使用されにくい安全なパスワードを設定し管理しなければなりません。
また,必要な情報以外にアクセスできないように,ユーザーに対してアクセス権も設定しなければなりません。
※ 安全なパスワードについては,「認証-安全なパスワード -情報処理シンプルまとめ」を参照
※ パスワードの管理ができていない(パスワードを付箋に書いてディスプレイなどに貼っておくなど)場合は,生体認証などの導入を検討する
※ アクセス権については,人事異動など,人が移動する際に見直す必要がある(退職の場合は,アカウントを無効にする)
物理的セキュリティ対策
物理的セキュリティ対策とは,建物や設備を対象としたセキュリティ対策のことをいいます。
バックアップセンターの設置
災害などへの対策として,業務システムの存在する地域とは別の地域にバックアップセンターを設置するという方法があります。
| ホットサイト | 待機系サイトを稼働させ,常にプログラムの変更やデータの同期をとり,災害などの発生時には,短時間で業務を再開する方式 |
| ウォームサイト | 待機系サイトにハードウェアを設置して,定期的にプログラムやデータをバックアップした媒体を搬入し,災害などの発生時には,搬入しておいた媒体を使用してシステムを復元し,業務を再開する方式 |
| コールドサイト | 待機系サイトに電源設備などを準備しておき,災害などの発生時に,ハードウェアを設置して,プログラムやデータをバックした媒体を搬入してシステムを復元し,業務を再開する方式 |
ゾーニング
ゾーニングとは,建物や部屋を,機能や用途により,いくつかの区画(ゾーン)に分けることをいいます。各区画で扱う情報のセキュリティレベルを考慮して,ゾーニングするようにします。
| 一般ゾーン | 外部者が自由に出入りできる区画。受付などが該当する |
| セキュアゾーン | 従業員が出入りできる区画。場合によっては,コピー機などのメンテナンス業者が出入りすることもある |
| ハイセキュアゾーン | 許可された従業員だけが出入りできる(重要な情報や機密文書が保管されている)区画 |
入退館管理
入退館管理では,入館時や退館時に,セキュリティが厳しいことを意識させることが重要です。
入館時
- 身分証明書を提示させる
- 外部者の場合は,訪問先の担当者への確認や,入館管理台帳への記入などを行う
- 不必要な物(記録媒体やカメラなど)を持ち込まないよう持ち物検査を行う
退館時
- 外部者の場合は,持ち物検査などを行う
その他
- 監視カメラなどにより入館者の記録を行う
- 入館中の行動が正当なビジネス行為であったことを確認できるようにしておく
- 入退館の時間や妥当性をチェックする
入退室管理
入退室管理では,扱う情報のレベルに応じて管理します。
入室時
- 外部者の入室を禁止する部屋の場合は,(簡単な)生体認証(指紋認証など)や電子ロックなどを行う
- 機密管理を厳密に行う場合は,(高度な)生体認証(手のひら認証や顔認証など)や電子ロック+複数の認証の組み合わせなどを行う
ピギーバック
ピギーバックとは,入退室をする人の後ろについて認証をすり抜ける行為をいいます。ピギーバックを防ぐためには,教育をするなどして対応します。
クリアスクリーン
クリアスクリーンとは,席を離れる際に,ログアウトやスクリーンロックをするなどして,画面の内容を盗み見られたり第三者にコンピューターを操作されないようにすることをいいます。
※ 機密情報などの漏洩を防ぐための対策
クリアデスク
クリアデスクとは,席を離れる際に,机の上の書類や記録媒体(USBメモリーなど),コンピューターなどを放置したままにしないようにすることをいいます。
※ 機密情報などの漏洩を防ぐための対策
盗難対策
盗難対策には,次のようなものがあります。
- 重要な書類や記録媒体については,重要度に応じて,施錠できる書庫や金庫などに保管する(記録媒体については,さらに,ファイルを開く際の認証機能やデータの暗号化などの対策もした方がよい)
- 重要な情報については使用制限を設け,許可なく印刷することや,記録媒体への書き込みなどができないようにする
- ノートパソコンなどの情報機器については,施錠して保管したり,ワイヤー付きの盗難防止ロックを取り付けたりする
ハードウェア障害に対する対策
ハードウェア障害に対する対策には,次のようなものがあります。
- 定期的にデータのバックアップを行う
- システムを冗長構成にする
- 耐障害性(フォールトトレランス)を考慮した設計や運用を行う
- RAIDを採用したハードディスクを使用し,可用性を高める
- (突然の停電やブレーカー断などに対応するため)電源対策を行う
※ バックアップについては,「データベース管理システム(DBMS)(物理設計)-トランザクションの管理-障害回復-バックアップファイル -情報処理シンプルまとめ」を参照
※ システムの冗長構成については,「システム構成-システム構成の基本 -情報処理シンプルまとめ」を参照
※ 耐障害性を考慮した設計については,「システム構成-システムの高信頼化 -情報処理シンプルまとめ」を参照
※ RAIDについては,「システム構成-さまざまなシステム-RAID -情報処理シンプルまとめ」を参照
※ 電源対策については,「」を参照
技術的セキュリティ対策
技術的セキュリティ対策とは,暗号化や認証,アクセス制御などの技術による対策のことをいいます。
※ 暗号化については,「暗号化 -情報処理シンプルまとめ」を参照
※ 認証については,「認証 -情報処理シンプルまとめ」を参照
※ アクセス制御については,「アクセス制御 -情報処理シンプルまとめ」を参照
※ ネットワークのセキュリティについては,「ネットワークのセキュリティ -情報処理シンプルまとめ」を参照
※ データベースのセキュリティについては,「」を参照
まとめ
今回は,情報セキュリティ対策について,シンプルにまとめてみました。一度に覚えるのは難しいと思いますので,繰り返し読んで理解するようにしましょう。
