ネットワークの脅威と情報セキュリティ

情報セキュリティ

企業の情報資産を、システムの脆弱性をみつけて盗み出そうとするものからいかに守るかを考え、施策することを情報セキュリティと言う。

情報セキュリティマネジメントシステム

組織が自身の情報資産を適切に管理し、それらを守るための仕組みが情報セキュリティマネジメントシステム(ISMS)

  • ISO/IEC(JIS Q 27001) … どのように構築し、維持・改善していくべきかを定めた規格
  • ISMS適合性評価制度 … 第三者であるISMS認証機関が審査して認証を行う制度

情報セキュリティの3要素

  • 機密性 … 情報が漏洩しないようにする
  • 完全性 … 情報が完全な状態を保っている
  • 可用性 … 必要なときに必要な情報資産を使用できる

上記3要素をうまくバランスさせることを情報セキュリティでは大切であるとされている

7要素(3要素に4要素プラスする)

  • 真正性 … それが主張するとおりのものであるという特性
  • 責任追跡性 … いつだれが何をしたのかを特定・追跡できる特性
  • 否認防止 … 事象または処置の責任を証明する能力
  • 信頼性 … 意図する行動と結果が一貫しているという特性

今は3要素に上記の4要素を足した計7要素が提唱されている

セキュリティポリシー(情報セキュリティ方針)

  1. 基本方針 … 企業としての基本方針
  2. 対策基準 … 基本方針を実現するための対策や基準
  3. 実施手順 … どのように実施していくのかという具体的な手順

この3要素で構成されている。

リスクマネジメント

リスクとは…組織が持つ情報資産の脆弱性を突く脅威によって、組織が損害を被る可能性

リスクマネジメントの4つのプロセス

リスク受容基準に収まらないリスクを洗い出し、適切に管理しなくてはいけない。そのために行われるのが次の4つのプロセス。

  1. リスク特定 … リスクを洗い出す
  2. リスク分析 … リスクの大きさを算定する
  3. リスク評価 … リスクレベルに基づいて優先順位をつける
  4. リスク対応 … リスクに対してどのような対応を行うか決定する

セキュリティリスクへの対応

  • リスクコントロール … 損失の発生を防止する、もしくは発生した損失の拡大を防止する
    • 回避 … リスクを伴う活動自体を中止し、予想されるリスクを遮断する対策
    • 損失防止 … 損失発生を未然に防止するための対策
    • 損失削減 … 損失拡大を防止・軽減し、損失規模を抑えるための対策
    • 分離・分散 … リスクの源泉を分離・分散させる対策
  • リスクファイナンシング … 損失を補填するための財務的な備えを講ずるもの
    • 移転 … 保険、契約等で第三者から損失補填を受ける方法
    • 保有 … 対策を講じず、損失発生時に自己負担する方法

不正のトライアングル

不正が起きる時の背景には次の3つの要素がそれぞれ関係しあっているとする、犯罪学者 ドナルド・R・フレッジーの提要した理論

  • 機会
  • 動機・プレッシャー
  • 姿勢・常態化

この3つの要素が揃ったら不正が発生する。

JPCERTコーディネーションセンターとインシデント対応チーム

JPCERTコーディネーションセンター(JPCERT/CC)… 日本における情報セキュリティ対策活動の向上に取り組んでおり、インシデント発生の報告受付、対応受付、発生状況の把握、手口の分析、再発防止のための対策の検討や助言を行っている

  • CSIRTマテリアル … JPCERT/CCが組織的なインシデント対応体制の構築や運用を支援する目的で作られた資料

個人情報保護法・プライバシーマーク

  • 個人情報保護法 … 個人情報を事業者が適切に取り扱うためのルール
    • プライバシーマーク制度 … 個人情報に関する認証制度。JIS Q 15001に適合して、個人情報の適切な保護体制が整備できている事業者を認定するもの

プライバシーデザインの7原則

  • 事後的ではなく事前的、救済目的ではなく予防的
  • 初期設定としてのプライバシー
  • デザインに組む見込まれるプライバシー
  • 全機能的-ゼロサムではなく、ポジティブサム
  • 最初から最後までセキュリティ-すべてのライフサイクルを保護
  • 可視性と透明性-公開の維持
  • 利用者のプライバシーの尊重 – 利用者中心主義を維持する

https://www.soumu.go.jp/main_content/000196322.pdf

タイトルとURLをコピーしました