第 13 回 1 リスク管理 リスクとは? 1.1 守るべきもの 情報セキュリティの観点で,守るべきものとは「情報資産」である。情報資産とは,以 下のようなものが挙げられる。 ・データー(顧客情報,人事情報,営業情報,その他のデータベース) ・コンピューター(パーソナルコンピューター,サーバー,USB フラッシュメモリー等) ・ソフトウェアやそのライセンス情報, ・各種データーが印刷された書類 ・人的な知識情報 1.2 脅威と脆弱性 (1)脅威 守るべきもの(ここでは情報資産)に対して,危険をもたらす可能性のあるもの。 ・人的脅威 :人的ミス,誤認,不注意など ・技術的脅威 :ネットを介した侵入やウィルスの注入など ・物理的脅威 :災害や人的破壊など ぜいじゃく (2)脆弱 性 脅威に対しての弱点を言う。コンピューターウィルスに対して,対策ソフトをインスト ールしていなければ,それが脆弱性になる。 2 リスク管理 以上に挙げた, 「情報資産」 , 「脅威」, 「脆弱性」がリスクの要素となる。この3つが揃う ことによって,リスクが発生する(この場合は,情報資産に被害が生じる可能性があるこ とを指す) 。 「情報資産」は無くすことは出来ないし,外界らの「脅威」を消滅することも難しい。 よって,「脅威」に対して正しく理解し,セキュリティ事故を発生させる可能性のある「脆 弱性」を無くすことがセキュリティ対策の手段となる。 2.1 セキュリティ対策 セキュリティ対策には限界がある。対策には費用がかかるので,リスクの程度と費用の バランスを考慮して,最適な対策を講じる必要がある。これを「受容水準」という。 また,セキュリティ対策を会社等が全体として講じるには,そのセキュリティ対策の具 1 体的な運用方法(セキュリティマネジメントシステム)を明文化する必要がある。これを, セキュリティポリシーという。セキュリティポリシーで大事なことは,日々脅威の具体的 な手法が変化することである。新しい技術ができれば,それに対しての脅威も新たに発生 する。常に最新の情報に敏感に反応し,対策を講じる必要がある。 次に,脅威の代表的なものを挙げる。 2.2 人的脅威 (1)漏洩 ・誤ったメールアドレスにデーターを添付して送信 ・サーバーの公開領域に誤って非公開データーを登録 対策:アクセス権の制限など (2)紛失・盗難 ・重要なデーターが入ったコンピューターや USB メモリーなどを電車に忘れたり,盗難 に遭ってしまった 対策:情報を取り扱う手順の明確化,コンピューターや USB メモリーの外部への持ち出 し禁止 (3)破損・誤動作 ・誤った操作で,データーを消してしまった。 ・取り扱いの不注意等でデーターが記録してあるコンピューターやハードディスクなど を壊してしまった。 対策:アクセス権の制限,重要データーのバックアップ,利用者のスキルアップ (4)なりすましや覗き見(ソーシャルエンジニアリング) ・上司や顧客になりすまして,個人情報やパスワードなどを聞き出す。 ・ATM で後ろから操作画面も覗き見する。 ・ゴミ箱を漁る。 対策:セキュリティポリシーの明確化,認証システムの多重化 2.3 技術的脅威 (1)マルウェア ・悪意を持ったプログラムの総称,コンピューターウィルス,ボット,スパイウェアな どがある。 対策:ウィルス対策ソフトの導入,知らない発信元からのメールは開かない。 2 (2)フィッシング詐欺 ・銀行やショッピングサイトなどになりすまして,ID,パスワードやクレジットカード の番号を盗み出す。 対策:URL の確認,認証局の確認。 (3)クロスサイトスクリプティング ・悪意のあるサイトにアクセスして,そこから信頼のある普通のサイト(でも脆弱性あ り)に,あらかじめ仕掛けられた悪意のあるスクリプト(プログラム)を実行してし まうこと。 対策:悪意のあるサイト(カジノやアダルト)へはアクセスしない。コンピューターの 脆弱性の対策をする。 (4)DoS 攻撃(Denial of Service attack) ・サーバーに過大なリクエスト(大量のデーターの転送,同時多発的なアクセス)を要 求し,応答不能や機能停止に陥れる。 対策:ファイヤーウォールで不要や危険なアクセスを遮断。 (5)セキュリティホール ・ソフトに存在するセキュリティ上の脆弱性,ここを足がかりにシステムに侵入されて しまう。 対策:修正プログラム(パッチ)を定期的に,速やかに適用する。 (6)ファイル交換ソフト ・操作ミスや設定ミスによる,意図しないファイルの漏洩 ・ファイル交換ソフトの特化したウィルスによる,未公開データーの漏洩 対策:業務用パソコンでのファイル交換ソフトの利用禁止,ウィルス対策ソフトの導入 2.4 物理的脅威 (1)災害 ・自然災害,火災,落雷などによるデーターの消失 対策:データーセンターの分散配置,バックアップの実施 (2)破壊・妨害,盗難行為 ・第三者による物理的なダメージや盗難 対策:入退出管理,生体認証(バイオメトリックス)システムの導入 3
© Copyright 2024 Paperzz
