単にセキュリティを堅牢にするということで、
盲目的に的を得ない対策をたくさん施しても意味がありません。
場合によっては、管理が増えて、見落としが生じる結果を招きます。
何に対する対策かという目的とその手法を十分検討してから行う必要があります。
以下は、対策の考え方を分類します。
| 事前対策 | 脅威に対して、前持って備える | ファイアウォール,ウィルス対策サーバー,暗号化 |
| 事件発生時対応(インシデント対応) | 被害が起きた時の処理 | ログ保全,関連機関への連絡,ネットワークからの切り離し |
| 発生後の対応と見直し | 復旧作業と、対策修正 | 通常業務への復旧,被害発生原因と対策検討、実施 |
| 日常業務 | 定期的作業 | ログ監視など情報の収集(IDSの利用)、社員教育、バックアップ、アカウント管理 |
IDS(Intrusion:侵入 Detection:検知 System) は、浸入検知システムのことです。
| 技術面での対策 | ファイアウォール、ウイルス対策サーバー、データの暗号化、Webフィルタリングソフト導入 |
| 運用面での対策 | セキュリティポリシー決定とその具現化、情報集、定期的アンケート |
セキュリティポリシーとは、保安上の方針・政策ですが、具体的には規則・マニュアルを作成して、
教育し、管理簿記入などを業務に盛り込みます。
また、社内規定に罰則などを盛り込むことも必要なことです。
なお、業務に盛り込む作業を簡単で単純にしないと、不徹底となる危険があります。
技術対策で、社員のストレスを減らす考慮が必要でしょう。
| リスク許容(現時点では処置しない) | 許容基準の設定(発生頻度や損害額と照らし合わせて)、準備金の積み立てなどを行い、将来に備える。 |
| リスク低減(頻度や、損害を減らす) | データの分散、管理者要員を増やす、管理ツールの利用 |
| リスクの転移(リスクファイナンスともいう) | アウトソーシング、ホスティング、損害保険加入などがあります。しかし 管理労力や対応費用は移転できますが、管理責任は転移できません。 (不具合発生時の信用失墜は免れません) |
| リスクの回避 | 発生要因の利用を止めて、別の代替を利用する。 (例:コンピュータのインターネット利用をやめて、携帯だけや、専用端末だけを使う) |
侵害は外部のインターネットなどだけとは限りません。
社内情報資産の機密データに、社員だれもがアクセスできてはいけないわけです。
外部、内部ともに情報資産が脅かされる状況の要因がリスク要因と呼ばれます。
この要因を探し、その対策を行い、
実際に被害が起きた場合も、被害損害を最小にする役割がセキュリティ管理者の役割です。
よって起こりえる損失の規模も把握しなければなりません。
被害が発生してから、もとの状態に戻るまでに掛かる費用が、損失です。
それには、信用失墜などの、2次3次損失も含み、膨大なものになることがあります。
| 抑止(脅威の可能性を少なくするための人間に対する牽制や手段) | ホスティング、不要なサービスの停止、外部委託、監視カメラ、契約書 |
| 予防(被害を抑える) | ファイアウォール、ウイルス対策ソフト導入、アクセス制限、DMZでネットワークの分離 |
| 検知(被害の早期発見) | ログ監視、IDSの導入、SNMPによるネットワーク監視 |
| 回復(復旧できるような備え)、追跡、見直しなどの対応 | バックアップ、代替機の用意、復旧手順マニュアル作成 |
ホスティングとは、インターネットに繋がるサーバーを社内に置かず、外部から借りることです。
DMZ:(DeMilitarized Zone)は非武装地帯と直訳されますが、 これは、 インターネットなどの危険な範囲と、社内LANの範囲との中間に位置する範囲を いいます。一般的にはファイアウォールで囲まれて直接攻撃受けないような範囲とし、 そこにWebサーバー、メールーサーバーなどを配置します。
| ベースラインアプローチ | |
| 非公式アプローチ | |
| 詳細リスク分析 | |
| 組み合わせアプローチ(複合アプローチ) |