兵庫WEB制作.com

【シリーズ:セキュリティ】情報セキュリティの対策(人的なセキュリティ対策)

2018年7月13日

情報セキュリティの脅威については、リスクを認識し、優先度を考え、必要に応じた対策を行うことが重要です。

人的、技術的、物理的な観点から、実装技術に関するセキュリティ対策を確認していきます。

まずは、人的な面からセキュリティ対策を考えていきます。

セキュリティポリシや規定をどれだけ細かく作り、明文化したとしても、結局はそれらを運用する人のセキュリティ意識の問題となります。

定期的な教育や活動で啓発していくことが大切です。

情報セキュリティ対策

組織における内部不正対策

組織内における内部不正を防ぐには、内部不正対策の体制を整えておきます。

IPAセキュリティーセンター発行の組織における内部不正防止ガイドラインがありますが、内部不正防止の基本原則として、次の5つが重要なものとなります。


1.犯罪を難しくする(やりにくくする)
2.捕まるリスクを高める(やると見つかる)
3.犯罪の見返りを減らす(割に合わない)
4.犯行の誘因を減らす(その気にさせない)
5.犯罪の弁明をさせない(言い訳させない)

アクセス権の設定、ログの取得といったことに加え、教育で徹底した周知、法的手続きの整備を行う必要があります。

情報セキュリティ啓発

情報セキュリティに関する意識や知識を向上させるための取組みを周知徹底させていく活動が、情報セキュリティ啓発になります。

活動の概要を挙げれば、

教育(情報セキュリティ教育)
策定した情報セキュリティポリシの周知、ソーシャルエンジニアリングに対する心構えについて教育していきます。

訓練
攻撃を受けたという想定で実践し、手順に従って実際に対応する訓練を行います。

資料配付
情報セキュリティの必要事項を資料にまとめて、配付します。

メディア活用
ソーシャルメディア、eラーニングなど、多様な近店g津を活用しながら、啓発を行っていきます。

パスワード管理

パスワード管理のポイントを挙げてみます。

・推測されにくい、ある程度の長さで質の良いものを設定
・同じパスワードを使いまわさず、きちんと使い分ける
・パスワードはもちろん、IDはパソコンに保管せず、毎度入力する

パスワードについては、利用するサービスにより、定期的な変更を求められる場合もありますが、乗っ取られたり破られたりしない限り、変更する必要はないと、2018年3月より、総務省は従来の方針を180度変換しています。

理由として、定期的な変更はパスワードの作り方がパターン化してしまったり、簡単なものになってしまうことで使いまわしてしまう方が問題となるからだそうです。

利用者アクセスの管理

利用者のアクセスを適切に制限するのに、アカウント管理を行うことが重要です。

通常利用の権限、システムを変更できる権限の管理も行い、特権ユーザを一人一人識別できるようにしておく必要があります。

また、最も大切な考え方として、利用者のアクセス権設定で、Need-to-know(最小権限)の原則です。

必要最小限のアクセス権を与え、不要な情報は見せない様にします。

ログ管理・監視

ログ管理を行い、アクセスログを保管、誰がいつアクセスしたか正確に管理します。

監視し、定期的なチェックが必要です。

ログを監視していることは周知するが、具体的な監視方法は知らせない、ということが不正防止に最も効果的です。ログの監視を周知するだけで、内部不正の抑止効果があります。

– –

【ホームページの制作・更新・運用】お困りのことがあればご相談ください

カテゴリ

最新コラム

Facebook TWITTER LINE