[情報処理安全確保支援士]情報セキュリティ対策[例題付き]

2022年4月3日

セキュリティ

今回は情報処理安全確保支援士情報セキュリティ対策の機能について学習していきます。

トモル
トモル
情報セキュリティ対策って、結局どんなことするのかな?
アカリ
アカリ
ウイルスバスター入れたり、強固なシステム導入したり??

情報セキュリティ対策

情報セキュリティ対策の機能

情報セキュリティ対策としては、セキュリティインシデントを心理的に発生させないようにする抑止・抑制や、何かしらの異常が起こったときに検知・復旧するシステムや作業などが挙げられます。

これらのうち少なくとも一つ以上の機能を実施することが重要です。

それぞれの機能をさらに細かく見ていきましょう。

抑止・抑制

抑止・抑制は、人の良心やモラルに訴えかけ、不正行為や犯罪を思いとどまるように働きかけることでインシデントの発生を未然に防ぐことです。

一般的に社員や関係者による内部の犯行を防ぐことができますが、未知の侵入者や攻撃者を抑止することはなかなかできません。

具体的な対策方法としては、情報セキュリティポリシの策定と運用や、情報セキュリティ教育の実施が挙げられます。

アカリ
アカリ
主に人道的な面からの対策だね!

また、ネットワークの監視などを行い、そのことを周知することでも十分な効果を得られるケースがあります。

キュー
キュー
ただしやりすぎると「俺らを信用していないのか!」と反感買うから、適度にな

予防・防止

予防・防止は、組織全体・物理的環境・システムなどの脆弱性に対して、あらかじめ対策を講じることで、サイバー攻撃や内部犯罪からの被害を防げる状態にすることです。

トモル
トモル
こっちはシステム的な面からの対策みたい

具体的な対策としては、ウイルス対策ソフト認証システムを導入したり、脆弱性検査の実施をしたりすることです。

パスワードを強固なものにしたり機密データを暗号化することも予防・防止に該当します。

検知・追跡

検知・追跡は、サイバー攻撃や内部犯罪の発生を早期発見し、その原因や影響範囲の特定に必要な情報を取得することによって被害の拡大を防いで最小限に抑える取り組みです。

また、誰がどのようにしてシステムに侵入したかを明確にすることで責任追及を行ったり、再発防止につなげたりする目的もあります。

具体的な対策としては、ログの取得や分析、侵入検知システムの導入、各フロアでの監視カメラの設置などが挙げられます。

回復・復旧

回復・復旧では、サイバー攻撃や内部犯罪、システムトラブルなどで問題が発生した場合に、情報システムやネットワークを正常な状態に戻す作業です。

問題が発生した場合に、被害を最小限に抑えるためには日ごろから回復の機能を持つ対策をしておく必要があります。

具体的な対策としては、バックアップの作成や復旧作業をするためのマニュアルを作成すること、訓練の実施などが挙げられます。

情報セキュリティ対策の考え方

情報セキュリティ対策における基本的な考え方も押さえておきましょう。

リスクアセスメント

実施する情報セキュリティ対策を検討する前に、そもそもどのようなリスクが起こりえるかを分析・評価する必要があります。

リスクアセスメントすることで、実施するセキュリティ対策の目的や効果が明確になります。

守るべき情報資産を決める

組織の情報資産のなかでも、特に重要なもの、そうではないものなどに分類できます。

その中で何が重要なのか、何を優先して守る必要があるのかを認識しなければいけません。

脅威を知る

組織の情報資産を守るためには、そもそもどんな攻撃が行われるのか、どのような脅威があるのかを知る必要があります。

キュー
キュー
悪意を持った攻撃だけでなく、災害や事故も考慮せなアカンで

サイバー攻撃や内部犯罪については、対策次第で比較的簡単に抑えられます。しかし、災害に関しては予測できず防げないケースもあるので、リスクを移転する必要もあります。

脆弱性の対処をする

脆弱性とは、言ってしまえば弱点です。

例を挙げればパスワードがすごく簡単(1111など)だったり、古いバージョンのウイルス対策ソフトを用いていたりなどが考えられます。

キュー
キュー
脆弱性はシステムだけでなく、モラルが低いなどの人的な面もあるで

脆弱性は努力次第で改善可能であり、一般的なセキュリティ対策の多くは脆弱性に対処するために行われます。

まずは組織や情報システムなどのどこに脆弱性が存在して、それによってどのようなリスクが現れるのかを認識し対処しなければいけません。

情報セキュリティの方針を明確化

情報セキュリティに対する組織の方針や基準を明確化することで、関係者の意識や認識を合わせ、限られたリソースを有効に活用できます。

キュー
キュー
リソースは具体的には人員・予算・システムなどやで

対策を実施することで、過失による問題の発生を防ぎます。

セキュリティと利便性のバランスをとる

基本的に、セキュリティと利便性はトレードオフの関係にあります。

セキュリティを強固にすればするほど、使いづらくなることは経験上多いかなと思います。

アカリ
アカリ
確かに、パスワードが長くなったり〇段階認証を導入したりするとその分めんどくさくなるよね

したがって、リスクを十分に考慮したうえで、バランスを取らなければいけません。

インシデントの防止・対処法を整備する

対策の実施においては、組織や情報システムの脆弱性に対策することによって、インシデントの未然防止に努める必要があります。

しかし、どんなに未然防止策を施しても、インシデントの発生を完全に防ぐことはできません。

インシデントの発生時に備えた対策を行うことが重要です。

第三者の意見を取り入れる

実施したセキュリティ対策の抜けや不備がないかを発見し、それぞ是正・改善するために第三者の意見も取り入れる必要があります。

第三者による意見によって客観的な視点を得ることができます。

タイミングとしては、対象となる組織や情報システムに変化が生じる場合はもちろん、年に一度など、定期的に実施すると望ましいです。

最小限の原則を意識する

情報セキュリティ対策を実施するにあたっては、最小限の原則を意識しなければいけません。

トモル
トモル
最小限の原則?

最小限の原則とは、情報資産にアクセスできる人やプログラムを常に必要最低限にすることです。

このことによってセキュリティインシデントの発生確率を最低限に抑えます。

退職者のアカウントが残っていたり、無関係の人が情報資産にアクセスできる状態は望ましくありません。

責務分離の原則を徹底する

同一者に複数の業務を行う権限を与えると、確認不足によるミスや不正行為などを発生させうる要因となります。

キュー
キュー
例えば経理担当者が一人で振込から確認までできたら、横領し放題やで

したがって、業務を細分化させ担当を適当に分離させる責務分離の原則が重要です、

ネットワーク上から重要資産を分離

Webや電子メールを中心としたネットワーク接続は、業務においては必須です。

しかし、マルウェアなどによりアクセス権限をはく奪された場合、ネットワーク上に個人情報や企業秘密があればすべて奪取されたり、暗号化によりCIAが損なわれたりします。

そこで、ネットワーク上から重要資産を分離する対策も必要です。

キュー
キュー
例えば重要資産はネットワークにつながっていないサーバで管理するとかやな

ネットワークを物理的に分離できない場合は、VDIなどの技術を使って論理的に分離することも対策の一つです。

安全措置も重要

システムに何らかの障害が発生した場合、安全に停止するような設計も重要です。

例えば地震が起きても火災が発生しない仕組みや、異常終了しても巻き込まれない仕組みなどです。

これら安全な方向に向かうシステムをフェールセーフと呼びます。

時には情報資産を犠牲にしてでも安全を取らなければいけないケースもあるので、頭の隅っこにおいておくと良いです。

アカリ
アカリ
情報資産も人命には代えられないこともあるよね

システムの単純化

ネットワークやデータベース、サーバは可能な限り単純な方がメンテナンスもしやすく、セキュリティを確保しやすいです。

具体例を挙げると、一台のサーバにメール・Webサイト・顧客情報の管理など複数の役割を兼ねさせると、サーバの台数は減るもののそのサーバがダウンしたときのダメージが大きくなります。

また、システムが競合したりインシデント時の原因究明が困難になったりといった問題が発生する可能性も上がります。

したがって、システムの単純化も重要な対策方法となります。

多層防衛の実現

セキュリティは、単一の対策よりも二重・三重と施すことで、より強固になります。

例えばICカードだけでの認証を行う場合、ICカードの紛失や盗難によって一気に脅威性が増します。

しかし、ICカードに加えPINコードの入力や生体認証を加えれば、たとえ紛失したり盗難にあったとしても、それだけで資産が脅威にさらされる可能性は減ります。

利用者の識別

システムの利用に対して、利用者を一意に識別・特定し、追跡したり検証できたりするようにすることで、安全性を高められます。

そのためには1アカウント1ユーザを基本とし、共有の禁止を徹底する必要があります。

また、発生した事象をログに記録し、ログの改ざんや消失を起こさない対策も必要です。

スポンサーリンク

情報セキュリティ対策・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

職場でのパスワードの取扱いに関する記述a~dのうち,適切なものだけを全て挙げたものはどれか(ITパスポート H.23/秋)

a.業務で使用するパスワードをプライベートでWebサービスに利用する。
b.個人用パスワードはシステム管理者にも教えない。
c.パスワードは定期的に変更するだけでなく,第三者に知られた可能性がある場合にも変更する。
d.付与された初期パスワードは,最初にログインしたときに変更する。

ア a,b,c
イ a,c
ウ b,c,d
エ c,d

問2

リスクアセスメントに関する記述のうち,適切なものはどれか。(FE H.26/秋)

ア 以前に洗い出された全てのリスクへの対応が完了する前にリスクアセスメントを実施することは避ける。
イ 将来の損失を防ぐことがリスクアセスメントの目的なので,過去のリスクアセスメントで利用されたデータを参照することは避ける。
ウ 損失額と発生確率の予測に基づくリスクの大きさに従うなどの方法で,対応の優先順位を付ける。
エ リスクアセスメントはリスクが顕在化してから実施し,損失額に応じて対応の予算を決定する。

問3

信頼性設計に関する記述のうち,フェールセーフの説明はどれか。(SG H.30/秋)

ア 故障が発生した場合,一部のサービスレベルを低下させても,システムを縮退して運転を継続する設計のこと
イ システムに冗長な構成を組み入れ,故障が発生した場合,自動的に待機系に切リ替えて運転を継続する設計のこと
ウ システムの一部が故障しても,危険が生じないような構造や仕組みを導入する設計のこと
エ 人聞が誤った操作や取扱いができないような構造や仕組みを,システムに対して考慮する設計のこと

解説(クリックで展開)

情報セキュリティ対策・まとめ

今回は情報セキュリティ対策について学習しました。

どのような対策をおこなうのか、大まかでよいので押さえておきましょう。

キュー
キュー
今後具体的な技術や概念について学んでいくで!

次回はISMS(Information Security Management System)について学習します。


スポンサーリンク