情報資産の価値と導入コスト及び運用負荷のバランスを考えます
情報セキュリティ対策を考えるときは、どのような対策(ツール)を導入すればよいのか、どこから対策を行うべきかわからないことがよくあります。特に、どこまでを対策ツールで実施し、どこまでを運用面でカバーすべきかの面で悩むケースが多いようです。
ルールや手順を決めてそれを確実に運用することは基本ですが、運用面だけに依存しすぎると運用負荷が大きすぎて業務が立ち行かなくなることがあります。逆にツールに依存すると、多大なコストがかかる結果となります。
情報セキュリティポリシーは大前提ですが、ルールや手順が多すぎると運用負荷が高くなりすぎるため、技術で守れる部分は技術で対応し、技術対策では守れない部分をルールや手順所のような運用面で守るのが現実的です。技術対策をどこまで実施するのかは、守るべき資産の価値と導入するコスト及び運用負荷のバランスを考慮することが重要です。
物理アクセスによる脅威への対策
物理アクセスの脅威とは、建物内に物理的に進入されるリスクやそれにともなう、PCや記憶倍などの盗難や破壊をします。対策としては、自社内と外部の人間を確実に判別できるような仕組み(入退出記録と訪問者バッチなど)を導入し、アクセスできるエリア(ゾーニング)を分ける必要があります。ゾーンを通過する際にはサイド乳退出記録をとるのが望ましい形です。ICカードと連動したゾーン制御は大変有効です。
最近では、RFID(IC無線タグ)などを利用した行動追跡記録装置などもあります。PCなお情報資産にRFIDを負荷すれば盗難対策に非常に有効です。
情報漏洩による脅威への対策
個人情報保護法の施行以来、企業内の情報が外部に漏洩することは企業にとって大きなリストなっています。情報漏洩の脅威としては、内部の人間が不正なアクセスや操作をすることによって引き起こされるものや、ノートPCの盗難、USBメモリに代表される外部記憶装置の持ち出しによるもの、最近ではWinnyに代表されるファイル交換ソフトからインターネットに流出されるものなどがあります。
対策としては、利用者が自分の判断だけで情報を外部媒体にコピーできないような制限をかけ、かつ業務上やむをえない場合は、権限者の許可を受けた上で持ち出しができるような規定を策定することが挙げられます。また、PCに存在するデータをハードディスクドライブ単位、フォルダ単位などで、自動的に暗号化したり複合したりできるようにすれば、利用者の操作は通常となんら変わらないにも関わらず、情報が保護されている状態を作り出すことができます。近年は外部記憶装置を持たず、機能の大半をサーバーに依存するネットワーク端末「シンクライアント」にも注目が集まっています。
不正プログラムによる脅威の対応
ウイルスやワームの感染による、データの改竄やデータ流出の脅威やスパイウェアのような悪意のあるプログラムによる脅威を指します。
対策としては、アンチウイルスソフトやスパイウェア対策ソフトを導入し、更新ファイルのアップデートを定期的に行うことが望ましい形です。さらに、サーバとクライアントPCで異なる対策ソフトを導入すると、未知のウイルスの対応策とし有効となります。
CISA(公認情報システム監査人)
情報システムの監査やセキュリティ、コントロールに関する高度な知識、技能及び経験を有することを証明する資格です。
ISMS(ISO27001)
組織が情報資産の管理を適切に行い、機密を守るための包括的な枠組みのことです。セキュリティポリシーや、それに基づいたPlan(計画)、Do(実行)、Check(点検)、Act(処置)のサイクル実施が基本となります。
ITIL
ベストプラクティスとされるITのプロセスが規定されているライブラリでしたが、このITILを組織に導入するにはそのマネジメントの枠組みが必要となってきました。そこで英国規格のBS15000が生まれ、この規格が国際規格ISO20000へ発展しました。