情報処理安全確保支援士(旧:情報セキュリティスペシャリスト)の内容に入っていく上で、
まずは、情報セキュリティという概念とその特徴といったことについてみていきたいと思います。
情報セキュリティの定義
情報セキュリティの定義として一般的にJIS Q27002が示す以下のものが挙げられます。
「情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい」(JIS Q27002)
つまりは、情報セキュリティ対策を行う上で、
3つの特性と追加の4つの特性を理解することが重要なのです。
(3つの特性が特に重要)
では、以下その特性をそれぞれついての説明となります。
情報セキュリティの特性
「機密性」
・・・情報システムやネットワークには誰もがアクセス可能ではいけません。
アクセスできる人とできない人を明確に分ける必要があります。
そのために、認証や暗号化の技術を使って、アクセス制御を行う必要があります。
「完全性」
・・・データの欠落や改ざんがされておらず、正当・正確かどうかということです。
データのチェックや改ざん検知機能などの仕組みを組み込む必要があります。
「可用性」
・・・いつ、いかなる時でも正常なサービスを提供できるようにする必要があります。
そのためには、システム・ネットワークの冗長化、データのバックアップ、保守・運用などが重要となります。
「真正性」
・・・利用者やシステム、情報などが本当に正確であるかどうか、それが明確である
ということです。
「責任追跡性」
・・・利用者、システム、ネットワークの動作内容を追跡できるかということです。
「否認防止性」
・・・ある事象、現象が起こった時に、後になって否認されないようログなどで証拠
を残すことです。
「信頼性」
・・・実行した操作や処理が正常に動作するかどうかということです。
情報セキュリティへの具体的な対策
続いて、上記情報セキュリティの特性を満たすために、
具体的な考え方や施策についての説明となります。
「リスクアセスメント」
・・・想定されるセキュリティリスクを洗い出し、分析・評価する。
「情報資産の認識」
・・・守るべき情報システムを把握する。
「脅威や攻撃手口の理解、脆弱性の理解」
・・・脅威の種類や攻撃者の手法、情報システムに内在する弱点を認識する。
「セキュリティ対策の方針や基準の明確化」
・・・情報セキュリティに対する方針、限られた予算での施策、利便性との兼ね合い
を決定する。
「システムの構成・機能の単純化」
・・・ネットワークやサーバなどの構成はシンプルにし、複雑な機能を使わない。
「重要なシステムの分散・冗長化」
・・・一つのシステムが止まったからといってシステム全体に影響を及ばさないよう
にする。
「二重、三重の防御」
・・・一つだけの対策にとどまらず、多層に渡って対策を施すことです。
基本的には予算との兼ね合いになりますが、多重にすればするほどセキュリティは
レベルは高くなります。
ただし、比例的に高くなるわけではありませんので、一定レベルの対策で
OKかと思います。
「利用者の識別と追跡」
・・・利用者、システム、プログラムなどを識別し、動きを追跡できるようにします。
ユーザアカウントで識別したり、ログを残すことで追跡します。
「最小限の原則と責務の分離」
・・・システムにアクセスできる人間は最小限にする必要があります。
特に特権アカウントの取り扱いについては細心の注意が必要です。
また、同一の人に複数業務を行わせるのではなく、業務ごとに担当を分離します。
このように、情報セキュリティの脅威から、組織を守るために、
上記7つの特性を理解した上で、組織のネットワークシステムやセキュリティポリシーの作成・管理において、複数の施策を取っていくことが重要なのです。
コメント