情報セキュリティ基礎知識


セキュリティ対策の基本

情報セキュリティ対策を行う上での基本となる考え方があります。全てを満たすことが大切ですが、現在の会社のセキュリティレベルでは難しいのであれば課題として徐々に引き上げていくことが望ましいです。

リスクアセスメントを行う

情報セキュリティ対策を行う前に、想定されるリスクについてリスクアセスメント(分析・評価)を行うことが重要です。リスクを明確にすることによって対策の目的や範囲を明らかにします。


守るべき情報資産を明らかにする

会社が保有する資産の中でどれが守るべき資産であるか明確にすることです。全てを守ることはできないという現実を受け止め、守るべき情報資産やシステムに対策を集中させます。


脅威を知る

情報資産を脅かす脅威そのものを知ることが対策を立てる上で重要です。攻撃の種類や手口を知る。外部からの攻撃だけでなく、内部の不正も認識する。


脆弱性を知る

組織やシステム等に内在する様々な弱点や欠陥がリスクと結びつけることでリスクを顕在化させたり、脅威を増幅させたりする。脆弱性はセキュリティ対策によって取り除いたり、軽減することができる。


情報セキュリティの方針や基準を明確にする

情報セキュリティに対する組織の方針や基準を明確にして、関係者の認識をあわせ、予算を確保し、要員、設備等のリソースを確保する。。


セキュリティと利便性のバランスをとる

セキュリティ対策を行うと利便性を損なうことがあります。バランスを意識してセキュリティ対策内容を決定することが求められます。


インシデントに備える

セキュリティ事故を防ぐと共に、事故が起きた場合に備えた方策を考えておくことが求められます。


セキュリティ対策の有効性を第三者によるレビューを行う

セキュリティ対策を行っていても実はあまり有効でない対策であることがあります。外部の専門家のレビューを行い有効性を測ることが求められます。


最小権限の原則

常に最小限の権限をアクセスする人間、プログラムに与えましょう。権限の付与については細心の注意を払うことが求められます。


責務の分離の原則

一人の人間に権限が集中していると、アカウントを奪われた場合の被害が大きい。権限を分散し対処しましょう。


フェールセーフを意識したシステム設計

不測な事態を意識してシステムが安全に停止・中断できるようにプログラムする。


システムの構成や機能を単純にする

ネットワーク構成やサーバ構成が単純である程、セキュリティを確保しやすくなる。


システムや設備の重要な機能を分散化する

重要な機能や設備を1カ所に集中させると不具合が生じた時にシステム全体に影響を与えてしまう。重要な機能を分散させ被害を最小限に抑える設計を行う。


多層防御

対策が1つではなく、2重、3重に施すことでセキュリティを高めることができます。決済システム等、絶対にダウンしてはならないシステムは必要な考え方です。


利用者を一意に識別しイベントの追跡・検証を可能にする

利用者を一意に識別できるように必要な情報を収集し、インシデント発生時に問題の原因を調査するために使用する。


←前の記事 個人情報保護対応

コンタクト情報

Topics

Top