情報セキュリティとは
情報セキュリティとは、情報の機密性、完全性、可用性を維持することです。さらに、真正性、責任性、追跡性、否認防止、信頼性などの特性が含められることもあります。
ネットワークシステムのオープン化により利便性が拡大した反面、セキュリティが大きな問題となっています。インターネットに接続される「入口」から誰でも接続を試みることができ、組織内のネットワークに侵入し、重要な情報にアクセスされる危険性が出てきているためです。
| 機密性 | 情報資産へのアクセスを、許可された者が許可された範囲内で操作(閲覧・書込み・印刷など)をできるようにすること。 対策は、認証、アクセス制限、暗号化など。 |
| 完全性 | データの正当性、網羅性、一貫性を維持すること。 対策は、ハッシュ関数やデジタル署名を利用した改ざん検知など。 |
| 可用性 | 情報システムが必要なときに、必要なサービスを提供できること。 対策は、システムやネットワークの二重化、十分なリソースの確保、データバックアップなど。 |
脅威と脆弱性
脅威とは、システムのセキュリティに危害を与える要因です。例えば、不正アクセスやマルウェアが該当します。
脆弱性(セキュリティホール)とは、システムに存在する欠陥や不備です。例えば、パッチの当っていないソフトウェアや、セキュリティが考慮されていないプロトコルなどです。
インシデントは、脅威と脆弱性が一致するところで発生します。リスクとは、インシデントが発生した場合にシステムや業務に影響を与える可能性で、リスクが顕在化することをセキュリティ侵害(アクシデント)と言います。
セキュリティマネジメント
セキュリティマネジメントとは、セキュリティ侵害による被害を組織的に軽減することです。以下の4つのフェーズがあります。
| 1 | ポリシの策定 | 組織としてのセキュリティ方針やルールを明確にする。 |
| 2 | リスクアセスメント | システムの課題を洗い出す。 |
| 3 | 対策の実施 | 見つかった課題で優先順位をつけ、セキュリティ対策を実施する。 セキュリティ監視(SOC)やインシデント対応(CSIRT)などの運用も含まれる。 |
| 4 | 対策の見直し | 定期的にリスク対応の見直し、課題が見つかれば適宜フィードバックを行い、PDCAサイクルを回す。 |
情報セキュリティ対策
セキュリティ対策の種類
セキュリティ対策は、物理的対策、技術的対策、組織的対策の3つに分類されます。
| 物理的対策 | 建物や設備などを対象にした対策で、耐震設備、防火設備、停電対策、入退室管理など。 |
| 技術的対策 | 情報システムやネットワークなどにおける対策で、アクセス制御、認証、暗号化、マルウェア対策、脆弱性管理、ログ管理など。 |
| 組織的対策 | 組織運営や運用における対策で、ポリシ策定、監査、教育、訓練、セキュリティ監視、インシデント対応など。 |
セキュリティ対策の場所
技術的対策は、セキュリティ対策の場所により、ネットワーク対策とエンドポイント対策に分かれます。それぞれに長所と短所あるため、お互いを補うように導入することが推奨されます。
| ネットワーク対策 | インターネットの出入り口での対策。アクセス制御や認証など。 【長所】 ・特定の出入り口など対策場所が限定できる。 ・脅威を内部ネットワークに侵入させない。 【短所】 ・通信が暗号化された場合は検知が難しい。 ・将来的な負荷の増加の見積りが難しい。 |
| エンドポイント対策 | PCやサーバでの対策。アンチウィルスや脆弱性管理など。 【長所】 ・通信が暗号化されていても検知や防御が可能。 ・ネットワークの変更が不要。 【短所】 ・PCやサーバの台数分だけ対策箇所が増える ・利用者の端末まで脅威の侵入を許す。 ・利用者に直接エラーが見えてしまう。 |
セキュリティ対策のタイミング
セキュリティ対策のタイミングは、セキュリティインシデントの発生する前後で、事前対策と事後対策の2つに分けられます。
| 事前 対策 |
インシデント発生前に行う対策で、インシデントの発生頻度を下げる役割。 | |
| 抑止 | 人の意識に対し犯罪や不正行為を思い留まらせることで、インシデントの発生を未然に防ぐ対策。 ポリシ策定、ログ管理、教育、監視カメラ設置などが該当。 |
|
| 予防 | 情報システムの脆弱な部分に対し予めセキュリティ対策を施すことで、サイバー攻撃や内部不正などを受けにくい状態にする。 脆弱性管理、認証、アクセス制御、暗号化などが該当。 |
|
| 事後 対策 |
インシデント発生後に行う対処で、インシデント発生の影響度を下げる役割。 | |
| 検知 | インシデントの発生を速やかに発見、通知し、その原因や影響範囲の調査に必要な情報を取得することで、損害を最小限に抑える。 セキュリティ監視、ログ取得・解析などが該当。 |
|
| 回復 | インシデントが発生し影響が出た場合に、情報システムやネットワークを正常な状態まで復旧させること。 バックアップからのリストアや手順書の作成など。 |
|
セキュリティ対策の方針
セキュリティ対策の方針には、回避、低減、移転、受容の4つに分けられます。
| 方針 | 発生頻度 | 影響度 | 内容 |
| 回避 | 高 | 高 | 発生頻度と影響度がともに高い場合で、原因の除去、別手段の選択など発生を防ぐ。 |
| 低減 | 高~中 | 中~低 | 発生頻度と影響度がともに中程度の場合で、事前対策で発生頻度を下げ、事後対策で影響度を下げるバランスのとれた対策を行う。 |
| 移転 | 低 | 高 | 影響度が高いが発生頻度が低い場合で、アウトソーシングや保険での対処する(発生頻度が低いため、自分達では直接対策を行わない) |
| 受容 | 低 | 低 | 発生頻度と影響度が共に低い場合で、インシデント発生時の損失(残余リスク)を準備金等で負担する。 |
IT
マネジメント、セキュリティ、ネットワーク、システム
www.sansakuro.com
2021.04.25
散策路TOP
数学、応用数学、古典物理、量子力学、物性論、電子工学、IT、力学、電磁気学、熱・統計力学、連続体力学、解析学、代数学、幾何学、統計学、論理・基礎論、プラズマ物理、量子コンピュータ、情報・暗号、機械学習、金融・ゲーム理論
www.sansakuro.com
2021.03.24
