[情報処理安全確保支援士]情報セキュリティ対策[対策講座・例題付き]

今回は情報処理安全確保支援士の情報セキュリティ対策の機能について学習していきます。

情報セキュリティ対策

情報セキュリティ対策の機能

情報セキュリティ対策としては、セキュリティインシデントを心理的に発生させないようにする抑止・抑制や、何かしらの異常が起こったときに検知・復旧するシステムや作業などが挙げられます。

これらのうち少なくとも一つ以上の機能を実施することが重要です。

それぞれの機能をさらに細かく見ていきましょう。

抑止・抑制

抑止・抑制は、人の良心やモラルに訴えかけ、不正行為や犯罪を思いとどまるように働きかけることでインシデントの発生を未然に防ぐことです。

一般的に社員や関係者による内部の犯行を防ぐことができますが、未知の侵入者や攻撃者を抑止することはなかなかできません。

具体的な対策方法としては、情報セキュリティポリシの策定と運用や、情報セキュリティ教育の実施が挙げられます。

また、ネットワークの監視などを行い、そのことを周知することでも十分な効果を得られるケースがあります。

予防・防止

予防・防止は、組織全体・物理的環境・システムなどの脆弱性に対して、あらかじめ対策を講じることで、サイバー攻撃や内部犯罪からの被害を防げる状態にすることです。

具体的な対策としては、ウイルス対策ソフトや認証システムを導入したり、脆弱性検査の実施をしたりすることです。

パスワードを強固なものにしたり機密データを暗号化することも予防・防止に該当します。

検知・追跡

検知・追跡は、サイバー攻撃や内部犯罪の発生を早期発見し、その原因や影響範囲の特定に必要な情報を取得することによって被害の拡大を防いで最小限に抑える取り組みです。

また、誰がどのようにしてシステムに侵入したかを明確にすることで責任追及を行ったり、再発防止につなげたりする目的もあります。

具体的な対策としては、ログの取得や分析、侵入検知システムの導入、各フロアでの監視カメラの設置などが挙げられます。

回復・復旧

回復・復旧では、サイバー攻撃や内部犯罪、システムトラブルなどで問題が発生した場合に、情報システムやネットワークを正常な状態に戻す作業です。

問題が発生した場合に、被害を最小限に抑えるためには日ごろから回復の機能を持つ対策をしておく必要があります。

具体的な対策としては、バックアップの作成や復旧作業をするためのマニュアルを作成すること、訓練の実施などが挙げられます。

情報セキュリティ対策の考え方

情報セキュリティ対策における基本的な考え方も押さえておきましょう。

リスクアセスメント

実施する情報セキュリティ対策を検討する前に、そもそもどのようなリスクが起こりえるかを分析・評価する必要があります。

リスクアセスメントすることで、実施するセキュリティ対策の目的や効果が明確になります。

守るべき情報資産を決める

組織の情報資産のなかでも、特に重要なもの、そうではないものなどに分類できます。

その中で何が重要なのか、何を優先して守る必要があるのかを認識しなければいけません。

脅威を知る

組織の情報資産を守るためには、そもそもどんな攻撃が行われるのか、どのような脅威があるのかを知る必要があります。

サイバー攻撃や内部犯罪については、対策次第で比較的簡単に抑えられます。しかし、災害に関しては予測できず防げないケースもあるので、リスクを移転する必要もあります。

脆弱性の対処をする

脆弱性とは、言ってしまえば弱点です。

例を挙げればパスワードがすごく簡単(1111など)だったり、古いバージョンのウイルス対策ソフトを用いていたりなどが考えられます。

脆弱性は努力次第で改善可能であり、一般的なセキュリティ対策の多くは脆弱性に対処するために行われます。

まずは組織や情報システムなどのどこに脆弱性が存在して、それによってどのようなリスクが現れるのかを認識し対処しなければいけません。

情報セキュリティの方針を明確化

情報セキュリティに対する組織の方針や基準を明確化することで、関係者の意識や認識を合わせ、限られたリソースを有効に活用できます。

対策を実施することで、過失による問題の発生を防ぎます。

セキュリティと利便性のバランスをとる

基本的に、セキュリティと利便性はトレードオフの関係にあります。

セキュリティを強固にすればするほど、使いづらくなることは経験上多いかなと思います。

したがって、リスクを十分に考慮したうえで、バランスを取らなければいけません。

インシデントの防止・対処法を整備する

対策の実施においては、組織や情報システムの脆弱性に対策することによって、インシデントの未然防止に努める必要があります。

しかし、どんなに未然防止策を施しても、インシデントの発生を完全に防ぐことはできません。

インシデントの発生時に備えた対策を行うことが重要です。

第三者の意見を取り入れる

実施したセキュリティ対策の抜けや不備がないかを発見し、それぞ是正・改善するために第三者の意見も取り入れる必要があります。

第三者による意見によって客観的な視点を得ることができます。

タイミングとしては、対象となる組織や情報システムに変化が生じる場合はもちろん、年に一度など、定期的に実施すると望ましいです。

最小限の原則を意識する

情報セキュリティ対策を実施するにあたっては、最小限の原則を意識しなければいけません。

最小限の原則とは、情報資産にアクセスできる人やプログラムを常に必要最低限にすることです。

このことによってセキュリティインシデントの発生確率を最低限に抑えます。

退職者のアカウントが残っていたり、無関係の人が情報資産にアクセスできる状態は望ましくありません。

責務分離の原則を徹底する

同一者に複数の業務を行う権限を与えると、確認不足によるミスや不正行為などを発生させうる要因となります。

したがって、業務を細分化させ担当を適当に分離させる責務分離の原則が重要です、

ネットワーク上から重要資産を分離

Webや電子メールを中心としたネットワーク接続は、業務においては必須です。

しかし、マルウェアなどによりアクセス権限をはく奪された場合、ネットワーク上に個人情報や企業秘密があればすべて奪取されたり、暗号化によりCIAが損なわれたりします。

そこで、ネットワーク上から重要資産を分離する対策も必要です。

ネットワークを物理的に分離できない場合は、VDIなどの技術を使って論理的に分離することも対策の一つです。

安全措置も重要

システムに何らかの障害が発生した場合、安全に停止するような設計も重要です。

例えば地震が起きても火災が発生しない仕組みや、異常終了しても巻き込まれない仕組みなどです。

これら安全な方向に向かうシステムをフェールセーフと呼びます。

時には情報資産を犠牲にしてでも安全を取らなければいけないケースもあるので、頭の隅っこにおいておくと良いです。

システムの単純化

ネットワークやデータベース、サーバは可能な限り単純な方がメンテナンスもしやすく、セキュリティを確保しやすいです。

具体例を挙げると、一台のサーバにメール・Webサイト・顧客情報の管理など複数の役割を兼ねさせると、サーバの台数は減るもののそのサーバがダウンしたときのダメージが大きくなります。

また、システムが競合したりインシデント時の原因究明が困難になったりといった問題が発生する可能性も上がります。

したがって、システムの単純化も重要な対策方法となります。

多層防衛の実現

セキュリティは、単一の対策よりも二重・三重と施すことで、より強固になります。

例えばICカードだけでの認証を行う場合、ICカードの紛失や盗難によって一気に脅威性が増します。

しかし、ICカードに加えPINコードの入力や生体認証を加えれば、たとえ紛失したり盗難にあったとしても、それだけで資産が脅威にさらされる可能性は減ります。

利用者の識別

システムの利用に対して、利用者を一意に識別・特定し、追跡したり検証できたりするようにすることで、安全性を高められます。

そのためには1アカウント1ユーザを基本とし、共有の禁止を徹底する必要があります。

また、発生した事象をログに記録し、ログの改ざんや消失を起こさない対策も必要です。

情報セキュリティ対策・例題

実際に例題を解いて問題に慣れていきましょう。

問題

情報セキュリティ対策・まとめ

今回は情報セキュリティ対策について学習しました。

どのような対策をおこなうのか、大まかでよいので押さえておきましょう。

次回はISMS(Information Security Management System)について学習します。