セキュリティ管理者が行う運用面対策を示します
情報資産の重要性と扱いについての認識を高めるための教育です。
リテラシー(英: literacy)は、
「言語により読み書きできる能力」を指す言葉で、
元来「識字」と日本語訳されてきた言葉です。
つまり、コンピュータの危険性や有用性を理解、正しく活用する能力を養う教育です。
セキュリティの必要性を理解してもらい、
業務に必要ないサイトへのアクセスを行わないことや、メールの危険を理解してもらうなど
により、必要以上のセキュリティレベルにしなくてもしなくても
運用できるようになるでしょう。
(一般にのセキュリティレベルを高めると利便性が低下します。)
企業において、入社、退職、人事異動が定期的、不定期に発生します。
その際、アカウントの登録や削除を適切に行わないと、削除されたアカウントを
不正アクセスに利用される可能性があります。
セキュリティ管理者の不正防止策
なおセキュリティ管理者は、情報資源に対して大きな権限を持ちます。
よってセキュリティ管理者が不正を働いた場合は、証拠を押さえることが
困難になるケースが多いでしょう。よって管理者を2名にして互いにけん制
しあうような仕組みにし、定期的ローテーションで一人が長期にわたって
管理業務に当たることがないようすべきでしょう。
被害を未然に防ぐためには、絶えず最新の情報を知ることが重要です。
購入時の情報では安全性が高くても、後に問題が見つかることがありえます。
なお、セキュリティホールや、ウィルスなどは、
情報処理推進機構(IPA)やJPCERT/CC
(JaPan Computer Emergency Response Team/Coordinaton Center)が情報を提供しています。
これら機関が
運営してしているJVN (Japan Vulnerability Notes)の
サイトで公開しています。
アクセスログは、不正が行われたことの証拠となります。 ログの改ざんや消去されないように、ログを収集するのが有効です。 また、ログの監視ツールなどを利用するのもよいでしょう。
紙、マシン、メディアなど適切な破棄の方法を行わないと、そこから情報が漏れる場合があります。
破棄に関する手順も、機密区分を明確にてマニュアル化すべきでしょう。
HDD(Hard Disk Drive)の破棄
PCでHDDの消去をしても、実際はファイルとして認識しないようにしているだけで、
ほとんどの情報は記憶されたままの状態です。
(フォーマットしても一般的に消されるのは
MRB(Master Boot Record)やディレクトリエントリ領域が削除されるだけです)
よって、破棄する場合は専用の消去ソフトを使うか、特別な消去装置を使うか、
物理的に破壊するか しなければなりません。