オルタナティブ・ブログ > IT雑貨屋、日々のつづり >
RSS
IT雑貨屋、日々のつづり

IT業界につとめる「雑貨屋(なんでも屋)」が、業界の事、情報セキュリティの事、趣味や日々雑感を綴っていきます。お暇な方はおつきあい下さい。

【情セキ.003】情報資産への対策

»

 佐藤@IT雑貨屋です。
 情報資産の維持の観点について説明しましたが、それを維持する為に具体的な対策はどの様なものがあるのか、今回はその事について書いてみます。

 情報セキュリティと聞くと、現在では様々な対策アプリケーションやソリューションがあります。しかし情報資産を維持する為の対策というのは、それだけ事足りるというものではありません。効率よく対策をする為には、それなりに必要な観点というのがあります。
 ここではJIS Q 27001に規定されている、対策の観点については、以下の3点について説明します。
 ①技術的セキュリティ対策
  これは情報資産を暗号化する、アクセスする際の認証の仕組みを導入する等があります。一般的にいう所のシステム的な技術対策の事を技術的セキュリティ対策言います。ここにはアクセスする際の「入口」としての対策の他、持ち出す際の「出口」に対する対策という観点もあります。また様々なセキュリティソリューションなどを組み合わせて多重防御を行うという観点も、とても有用です。
 ②人的セキュリティ対策
  別名、管理的セキュリティとも呼びますが、情報資産を扱うのは最終的には人である事から、その人に対する対策も重要です。これには教育や訓練もありますし、組織の内部規定で明確に定めて組織内に周知し、必要であれば契約関係でもしっかりと明文化する必要があります。私達が社内研修で行う「情報セキュリティ研修」も、この人的セキュリティ対策の一環にあたります。
 ➂物理的セキュリティ対策
  これは人が業務する場所、また情報資産を補完する施設に対する対策の事を指します。具体的な例で言えば情報資産のある場所への入退室の管理、作業中の対策(PCのスクリーンセーバー等)、作業後にはクリアデスク、クリアスクリーンという事もあります。また管理エリアを定め、持ち込める物についても制限を掛ける事も、物理的な対策の一環です。

 この①~➂までの対策ですが、この対策の際、以下の事を念頭に置いて検討する必要があります。情報セキュリティと聞くと「予防」という事に主眼を置きがちですが、それだけでは情報セキュリティ対策とはならないのです。
 ①予防
  セキュリティ事故が起きないように、あらかじめ必要な対策を検討する事を言います。具体的には社内研修や、不要なアカウントの削除などがあります。またネットワーク構成についても、まずは予防という観点で設計する必要があります。
 ②防止・防御
  後に説明しますが、情報資産には様々な脅威が存在します。大事な事は脅威に直面しても、それが直ぐにセキュリティ事故につながらない様な対策を検討する必要があります。例えばデータバックアップもあるでしょうし、システムの定期的な更新もこの防止の観点となります。
 ➂検知・追跡
  セキュリティ事故が発生したらすぐに検知できる様に、必要な対策を検討する事をいいます。IDS(不正侵入検知システム)や、その際に法的に必要な証跡を確保するシステムの導入等が、この観点となります。
 ④回復
  セキュリティ事故が発生した際に、迅速に対応できる手順や体制を検討すると共に、情報資産やシステムについても早期回復できる事も考慮する必要がありますが、これは事業継続計画(BCP)の策定等にもつながったりします。

 以上が対策に対する考え方ですが、そもそも情報セキュリティ対策を検討するには、守るべき情報資産が直面する脅威やリスク、脆弱性について洗い出しをする必要があります。これを一般的にはリスクアセスメント(リスク分析)と言います。

 また少し振り返りとなりますが、情報資産とは組織にとって資産価値のある情報です。情報それ自体は形があるものではありませんが、記録される媒体によりその情報資産が直面する問題が異なります。その事から情報資産のリスクアセスメントを実施する際しては、その情報資産の記録媒体(電子媒体、紙媒体、属人的な知識など)や保管・保存場所などについて明確にしておく必要があるのです。

 リスク分析は以下の3つの観点を持って分析を行います。

 ①脅威
  脅威とはシステムや組織に損害を与える可能性がある、セキュリティ事故の潜在的な原因の事を言います。言葉の言い回しは少し難しいので、要約すると情報資産が漏洩、予期しない破損や削除などが起きうる要因の事を言います。この要因については以下のものがあります。
  ◆人為的な脅威(偶発的)なもの
   操作ミスやシステムのバグ等がこれにあたります。
  ◆人為的な脅威(意図的)なもの
   人が意図的に行う情報資産の持ち出し、もしくは破損や削除
  ◆環境的な脅威
   天災などによる情報資産の破損
  この3つの観点をもとに、洗い出した守るべき情報資産の直面する脅威を検討する必要があります。
 ②脆弱性
  脆弱性とは脅威が漬け込む情報資産の弱点を指します。例えば情報資産が紙媒体で保管状態が無施錠のロッカーであれば、人為的な脅威(意図的)に晒されています。この時「無施錠のロッカー」にあるというのが脆弱性となります。また紙媒体なので、保管場所も常温・乾燥した場所(環境的な脅威)で無ければ劣化して情報自体が破損してしまう可能性もあります。
 ➂リスク
  これは脅威と脆弱性によって、情報資産でセキュリティ事故が発生した場合、組織に対してどれだけのリスクがあるかという事を言います。このリスクの算定法は様々なものがありますが、一般的には以下の数式で算定したりします。

  リスク=情報資産の価値✕脅威の大きさ✕脆弱性の度合い

 ここまで情報資産に対する対策について簡単に書いてみましたが、日常業務の中で扱っている情報資産について、情報セキュリティを検討すると、実は情報の維持・運用するにしても、様々な問題が内在する事が確認出来たりします。またそれにより、事業継続のために、情報資産をどの様に保管し管理すべきかが明確になったりするのです。
 
 そういう観点からも、情報セキュリティとは単に情報漏洩を防ぐだけの活動では無い事が、ご理解いただけると思います。これにより事業承継や事業継続計画等にもつながる事にもなるのです。

 次回は情報資産に対する不正行為や攻撃の事について、書いてみたいと思います。

佐藤 洋之 2024/04/04 08:00:00 Comment(0)