情報セキュリティ対策の機能と基本的な考え方
情報セキュリティ対策の機能
- 抑止・抑制
- 人間の意識に対し、犯罪や不正行為を思いとどまらせるように働きかけ、問題の発生を未然に防ぐこと
- 社員や派遣社員など、内部で業務を行う要因が主な対象となる
- 対策
- セキュリティポリシの策定・運用
- 情報セキュリティ教育の実施
- 社内ネットワークの監視(告知だけでも効果◯)
- 予防・防止
- 組織、物理環境、情報システムなどの脆弱な部分に対して、あらかじめ対策を施し、堅牢な状態にすること
- 対策
- 機器・設備の定期保守
- 脆弱性検査の実施
- ソフトウェアの最新化
- 機密データの暗号化
- 検知・追跡
- サイバー攻撃や内部犯罪の発生を速やかに発見・通知し、その原因・影響範囲の特定に必要な情報を確実に取得・保全することで問題の拡大・拡散を防ぎ、損害を最小限に抑えること
- 対策
- マルウェアの常時検査
- ログ取得・分析
- コンピュータやネットワークの監視・記録
- サイバー攻撃のリアルタイム監視・記録
- 重要な情報資産が存在する場所への監視カメラの設置
- 回復
- サイバー攻撃や内部犯罪、機器障害などによって問題が発生した場合に、情報システムやネットワークを正常な状態まで復旧させること
- 対策
- バックアップデータの保存
- 復旧手順書の整備
- ログの出力と保存
- 不測事態発生時の手順と体制の明確化
- 不測事態を想定した訓練
情報セキュリティ対策における基本的な考え方
- 対策を検討する前にリスクアセスメントを行う
- 実施する情報セキュリティ対策を検討する前に、想定されるリスクについて分析・評価し、実施する対策の目的・効果を明確にする
- 守るべきものを認識する
- 組織の情報資産やそれを利用するための仕組みである情報システム等について何を守らなけばならないのかを認識する
- 脅威を知る
- 重要な情報資産を脅かすものの存在を認識し、その種類、攻撃者の手口についても可能な限り詳細に把握する
- 自社のサイトに対してどのような攻撃が行われているのかを知る
- 脆弱性を知り、対処する
- 組織や情報システムのどこに脆弱性があるのか、それによってどのようなリスクが顕在化させるのかを認識し、対処する
- 情報セキュリティの方針、基準を明確にし、手順等を整備する
- 情報セキュリティに対する組織の方針、基準を明確にし、関係者の意識や認識を合わせる
- 対策を確実に実施し、過失による問題の発生を防ぐため、手順書等を整備する
- セキュリティと利便性のバランスをとる
- セキュリティと利便性はトレードオフのため、リスクを考慮した上でバランスをとることが重要
- インシデントの未然防止に努めつつ、発生時に備えた対処を確実に行う
- 実施した対策の有効性について第三者によるレビューを実施する
- 最小権限の原則を徹底する
- 紹鴎資産にアクセスする人間、プロセス、プログラム等に対し、常に必要最小限の権限のみを付与する
- 責務分離の原則を徹底する
- 業務ごとに担当を分離する
- 複数の業務を与えると、確認不足によるミスや、不正行為発生の原因となるため
- 業務ごとに担当を分離する
- 重要な情報を取り扱うシステムとインターネット接続環境を分離する
- フェールセーフを考慮してシステム設計・構築する
- システムに障害が発生した場合、安全な方向に向かうように設計・構築する
- システムの構成や機能を単純にする
- 単純であるほど、セキュリティを確保しやすい
- システムや設備の重要な機能を分散化する
- 二重・三重の対策を施す
- 利用者を一意に識別し、事象の追跡・検証を可能とする
- システムで発生する様々な事象について、それを発生させた主体(利用者、端末、プロセスなど)を一意に識別し、追跡できるようにする
- 複数人でのアカウント共有×
- ログを確実に記録し、改ざん、滅失が発生しないようにする