技術要素(8)
セキュリティ
情報セキュリティ管理
情報資産
データやソフトウェア、コンピュータ、ネットワーク機器等の守るべき価値のある資産のこと
有形資産(物理的資産)
物理暦に存在する機器など
| ●紙に印刷されたデータ ●サーバやコンピュータなどのハードウェア ●ネットワーク機器 |
無形資産(ソフトウェア資産)
データ、ソフトウェアなど
| ●顧客情報、人事情報、営業情報、知的財産関連情報などのデータ ●OSやアプリケーションソフトウェアなどのソフトウェア ●人間の知識や経験 |
情報セキュリティポリシ
組織全体で統一のとれた情報セキュリティ対策を実施するために、技術的対策、システムの利用面・運用面、組織の体制面等を明確にしたもの。どのように守るか対策を立てる
情報セキュリティポリシは、大きく分けて「基本方針」「対策基準」「実施手順」で構成される。通常は「基本方針」「対策基準」の2つを指して情報セキュリティポリシと称する
| 名称 | 説明 |
|---|---|
| 基本方針 | 情報資産を脅威から守るための姿勢を明確にし、組織全体でセキュリティに対する取り組みを示す |
| 対策基準 | 基本方針に基づいた、ルールや判断基準、セキュリティ対策の確保といった行動を示す |
| 実施手順 | 通常の情報セキュリティポリシには含まれないが、実施手順の策定により対策基準に基づいた個々の行動を具体化する |
情報セキュリティマネジメントの要素
情報資産に対する様々な脅威を防止し、「機密性」「安全性」「可用性」を確保するもの
| 名称 | 説明 |
|---|---|
| 機密性 | アクセスを許可された者だけが、確実に情報にアクセスできる |
| 安全性 | 情報及び処理方法が正確・安全であることを確保する |
| 可用性 | 許可された利用者が必要な時に、情報及び関連する資産に確実にアクセスできる |
セキュリティに関するガイドライン
上記に 真正性:システムやデータの身元が主張どおりである
責任追跡性:形跡をたどれる
信頼性:動作と結果に整合性がある
を加えて定義するISO/IEC JTC 1/SC 27がある
情報セキュリティに関する機関
●IPAセキュリティセンター(情報処理振興事業協会)
●JPCERT/CC(有限責任者中間法人JPCERTコーディネーションセンター)
リスク管理
リスクを特定分析、それらの発生頻度と影響度の視点から評価後、リスクの種類に応じて対策を講じる
リスクの特定
どのようなリスクが、どのような形で存在しているかを特定する
リスクの分析
公開情報か非公開情報か、どのような価値があるか、どの範囲で人が利用するかを分析
機密性、安全性、可用性の側面から重要度のランク付けを行う
公開情報と非公開情報
公開情報:製品カタログ、Webページに掲載する情報など公開しても問題のない情報
非公開情報:新製品開発情報などの機密情報や顧客情報などの個人情報
リスクの評価
脅威の発生による影響を評価し、予測される発生頻度や損失額の大きいものから、優先順位を付ける
リスクの対策
リスクの評価結果をもとに、情報セキュリティを維持するための具体的対策を決定する
●リスクコントロール:損失の発生を防止・軽減するための手法
●リスクファイナンス:損失の発生時の経済的損失を補てんするための手法
| 種類 | 説明 | |
|---|---|---|
| リスクコントロール | リスク回避 | リスクが発生しそうな状況を避ける。情報資産をインターネットから切り離したり、情報資産を破棄したりする |
| リスク分離 | 損失を招く原因や情報資産を複数に分割し、影響を最小限に抑える。管理するコンピュータや人材を複数に分けて管理する | |
| リスク集中 | 損失を招く原因や情報をひとつに集約する。ひとつにまとめることで、より専門的にかつ堅牢な管理ができる | |
| リスクファイナンス | リスク移転 | 契約などにより、他者に責任移転する。情報資産の管理を外部に委託したり、保険に加入したりする |
| リスク保有 | 自ら責任を負い、損失を負担する。リスクがあまり大きくない場合に採用される |
リスクの最適化
リスクの大きさを小さくすること
ISMS(情報セキュリティマネジメントシステム)
組織(企業、部、課など)における情報セキュリティを管理するための仕組み。組織の情報資産について、機密性、安全性、可用性をバランスよく維持し改善することが、情報セキュリティマネジメントシステムの基本コンセプト
ISMSの構築のしかたと認定の基準は、国際基準(ISO)や日本工業規格(JIS)になっている。JIS Q27001(ISO/IEC 27001)では、組織においてISMSを確立、導入、運用、監視、見直し、維持し、かつそのISMSの有効性を改善する際に、プロセスアプローチを採用することを奨励している
ISMS適合性評価制度
ISMSが国際的に整合性のとれた基準に適合しているかを、第三者である審査登録機関が評価し、認定する制度
情報セキュリティ技術評価基準(CC、コモンクライテリア)
IT製品やシステムのセキュリティ品質を客観的に評価するための基準のこと
個々の情報処理製品や情報処理システムのセキュリティ機能と品質を、設計書やプログラム、テスト結果、マニュアルなどの内容のチェック、テストの実施などで検査し、評価
共通評価法(CEM)
評価結果を均一にするために開発された評価方法
「ISO/IEC 18045」として定められている
セキュリティ機能要件
実装すべきセキュリティ機能を定めた文書
セキュリティ保証要件
保証レベル(保証を測定する尺度)などを定めた文書
セキュリティ規定
脅威と脆弱性
企業が活用しているシステムの多くは、インターネットやイントラネットで外部ネットワークに接続されている。これらは利用者がいつでもシステムを活用し、業務の効率化を図れるというメリットがあるが、他面、外部ネットワークを経由して、システムに侵入されたり、コンピュータウイルスやマルチウェアなどに感染することにより、情報を外部に流出させられたりするリスクがある
リスクとなり得る驚異の種類や手法を理解し、また、セキュリティ事故を発生しやすくする要因となりやすい「脆弱性」に対して正しい処置をとる必要がある
人的脅威
人間が起こしやすいミスや誤認などの心理的な隙につけこんで情報を取得しようとする行為を「ソーシャルエンジニアリング」と呼ぶ
なりすまし
顧客や会社内の人間に成りすまして、企業秘密をはじめあらゆる情報を引き出そうとする手法。上司のふりをして社員のIDとパスワードを聞きだし、それを用いてシステム内に侵入、情報を悪用すること
技術的脅威
Webサーバやメールサーバなどを経由して外部からシステム内部に侵入されたり、悪意あるプログラムが埋め込まれたりすることがある。また、サーバに過負担をかけてサービスを停止させたり、使用者を混乱させたりする攻撃もある
| 種類 | 説明 |
|---|---|
| コンピュータウイルス | ユーザの知らない間にコンピュータに侵入し、コンピュータ内のデータを破壊したり、他のコンピュータに増殖したりするなどを目的に作られた、悪意のあるプログラムのこと |
| バッファオーバフロー攻撃 | コンピュータ上で動作しているプログラムで確保しているメモリ容量(バッファ)を超えるデータを送り、バッファを溢れさせクラッカーが意図する不正な処理を実行させること |
| クロスサイトスクリプティング攻撃 | ソフトウェアのセキュリティホールのひとつで、悪意のあるWebサイトを閲覧したときに、埋め込まれているコードを介して個人情報が盗み出されたり、コンピュータ上のファイルが破壊されたりする |
| DoS攻撃 | 特定のWebサーバに対して過大なリクエストを投げかけ、システムに許容範囲を超えた負荷をかけて、物理的に機能停止にしたり応答不能にしたりさせる手法。DoS攻撃によってネットワークが混乱することで、一般のユーザがサーバを利用できなくなる場合もある |
ワーム
ネットワークに接続されたコンピュータに対して、次々と自己増殖していくプログラムのこと。ネットワークの負荷によって、被害を増大させる
バックドア
クラッカーにより侵入を受けたサーバに設けられた、不正侵入を行うための「裏口」。クラッカーはコンピュータへの侵入に成功すると、次回も侵入できるように、管理者に気づかれないようにこっそりと侵入経路を確保する。これを言う
クラッカー
悪意を持って他人のコンピュータのデータやプログラムを盗み見る、改ざん・破壊を行う者のこと
物理的脅威
自然災害
地震などの自然災害や落雷・火災など、物理的な災害はシステムにとっても脅威となり得る
この種のリスクへの対策としては、ディザスタ・リカバリと呼ばれる概念が知られています。データセンターを遠隔地に分散して置き、システムの全滅を防いだり、システム内部のデータを常にバックアップしながら運用することで迅速な復旧を図ったりします
破壊・妨害行為
第三者の手によって、システムに物理的なダメージが加えられ、業務妨害が行われるケースも考えられる
脆弱性
情報セキュリティに関する弱点のこと
| 種類 | 説明 |
|---|---|
| セキュリティホール | 開発段階では想定していないセキュリティ上の脆弱性 悪用されるとコンピュータウイルスに感染させられたり、外部から攻撃を受けたりする恐れがある |
| 人為的脆弱性 | 組織や個人に対する、行動範囲の不徹底や未整備に起因する脆弱性 セキュリティ既定の作成や教育訓練の徹底が求められる |
