情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

8.人的セキュリティ

929c854c
結婚して社宅に住んでいる兄が言っていましたが、
なぜか隣の奥さんが、自分の給料の額や人事異動情報までも知っている。
って言ってました。
たしかにその人の旦那さんは人事部だけどって。


本来は奥さんであれど、権限的に知り得ない情報だね。
でも、上司の口が軽くて全部しゃべってるんじゃないのかな。
それと…。
パスワードをかけていても、紙に書いているとか、部内の何人かは知っているということがよくある。上司しか権限のない仕事でも、外出してやむを得ないなどの理由で、自分のパスワードを部下に教え、部下にやらせることがあるようだ。
このように、セキュリティは人的な問題で漏えいすることが多い。むしろその方が多いであろう。
ここで、セキュリティ対策の整理

セキュリティ対策の3分類
人的対策
物理的対策
技術的対策
以下のサイトがよくまとまっている。さすがIPA
http://www.ipa.go.jp/security/manager/protect/pdca/risk.html

ここでは、人的対策について解説する。
応用情報のシラバスでは、以下の記載がある。
① 人的セキュリティ対策
人的セキュリティ対策として,人による誤り,盗難,不正行為のリスクなどを軽減するための教育と訓練,事件や事故に対して被害を最小限にするための対策を理解する。

用語例
情報セキュリティポリシ,社内規程,情報セキュリティ教育,情報セキュリティ訓練,情報セキュリティ啓蒙,事件事故への対処マニュアル作成とその遵守,パスワード管理,アカウント管理,need-to-know,ログ管理,監視,情報漏えい対策,プライバシーマーク,セキュリティ担当者,内部統制

H23SC春午後I問3では、情報漏えい対策の例が述べられている。
[ a ]に入る字句と、①の注意点を述べよ。
情報漏えいリスクリスクに対して
有効と考えられる対策
(ア)盗難、紛失持出中に貸与PCが盗まれる又は紛失する。・情報を秘匿するための[  a  ] 
①貸与PCの安全な持運びに関する注意点の周知
(イ)マルウェアに感染・持出中に貸与PCがマルウェアに感染する。
・マルウェアに感染した貸与PCで情報を持ち出す。
・社外でのインターネット接続の禁止
・ウイルス対策ソフトの導入
・会社指定ソフトウェア以外のインストール禁止
・セキュリティーパッチ適用の徹底
(ウ)不正開示持出中にE社従業員が、開示が許可されている対象者以外に(故意又は過失で)情報を開示してしまう。開示可能範囲の周知
(エ)盗み見持出中に貸与PCの画面をのぞき見られる・プライバシフィルタの利用
・第三者から見られる場所での利用を禁止した規定の周知
勉強なので、対策を手で隠すなどして、自分で考えてみよう。
これ以外にも対策はたくさんあるが。
正解は、aは「暗号化」、①は「常に携帯して手放さない」こと。
dcf52feb

情報漏えいをしないよう、気を付けていますが、
銀行の口座番号を教えることはセキュリティ上問題ないのでしょうか?
オークション取引で教えるのが不安です。


お金を引き出されたりしないかという不安だと思うが、それは問題ない。
通帳やカード、印鑑等がないと何もできないからね。
口座情報は企業ではふつうに知らせるし、サイトに公開いているところもある。
しかし、インターネットバンキングをやっていて、それらのID等を教えるのは危険だから注意しよう。

人的セキュリティは、ルールを守ることもその一つである。
情報セキュリティスペシャリスト試験を目指す女性SE

ルールと言えば、セキュリティポリシーですね。
でも、セキュリティポリシーでは、詳細な実施手順にまで踏み込まないですよね?
そう。実際には、情報セキュリティポリシー3階層目の「実施手順、規定類」が実際ルールだろう。

以下がその例で、パスワードの運用ルールである。
技術面での対策も含まれているが、運用面の対策も多い。
社内規定によって罰則が盛り込まれれば、社員のセキュリティ遵守の意識が高まるだろう。
・パスワードを保存する場合には、その内容を暗号化すること
・パスワードを送信する場合には、その内容を暗号化すること
・利用者に対し、定期的にパスワードを変更するように促すこと
・利用者が自らパスワードを変更できること
・利用者が定期的にパスワードを変更していることを、管理者が確認できること
・利用者が定期的にパスワードを変更しないと、その利用者はシステムを利用できなくなること
・破られやすいパスワードは設定できないこと
・それまでに利用していたパスワードは再設定できないこと。
 図2 パスワード管理に関するセキュリティ要件(H20SU午後Ⅱ問1より引用)
情報セキュリティスペシャリスト試験を目指す女性SE
でも、パスワードを厳しくすると、
覚えやすいものにするとか、
紙に書いて貼ったりすることが多くなりませんか?
そうなんだ。1ヶ月に1回変える」「以前のパスワードは使えない」「8文字以上で英数特殊な…」などとやると、運用上無理になり、そうなる。運用できてこそルールだね。

6b2fb508
デパートで洋服を買うときに、クレジットカードを渡すでしょ。レジは別のところにあるから、しばらくクレジットカードを渡すことになる。カード番号や裏のセキュリティコードを控えられてもおかしくないだけの時間があるわ。



これこそ人的セキュリティである。店側のルール順守、社員への教育も大事だ。
本気でやろうと思ったら、セキュリティは脅かされる。とはいえ、不正行為は足がつくし保険があるから、カード所有者に被害がいくとは限らない。

社員には定期的に情報セキュリティ教育を行うべきである。教育の中で、情報セキュリティに関する啓蒙活動を行うことも重要である。最近では、Webやe-learningの仕組みを使った社内教育を行う企業が増えてきている。

過去問を2つ解いてみましょう。

1.(H27年春IP)
問63 社内の情報セキュリティ教育に関する記述のうち,適切なものはどれか。
ア 再教育は,情報システムを入れ替えたときだけ実施する。
イ 新入社員へは,業務に慣れた後に実施する。
ウ 対象は,情報資産にアクセスする社員だけにする。
エ 内容は,社員の担当業務,役割及び責任に応じて変更する。
解説は、以下に書いています。
http://sg.seeeko.com/archives/156090.html
正解はエです。

2.(H27年秋IP)
問84 社員に対する情報セキュリティ教育の実施に関する記述a~dのうち,適切なものだけを全て挙げたものはどれか。
a 情報セキュリティ違反をした者に対する再教育に当たっては,同じ過ちを繰り返さないための予防処置も含める。
b 新入社員に対する研修プログラムに組み込む。
c 対象は情報システム部門に所属する社員に限定する。
d 定期的な実施に加えて,情報セキュリティに関わる事件や事故が発生した後にも実施する。

ア a, b, d  イ a, c, d  ウ a, d  エ b, c
解説は以下に書いています。
http://sg.seeeko.com/archives/623283.html
正解はアです。

アカウント管理
 アカウントとは、ユーザ名とパスワードのセットと考えてください。システムへはアカウント情報をもとにログインします。よって、不正なアカウントをサーバに残していたり、一般社員なのに管理者の権限が与えられていたりすると、システムを不正に利用される可能性があります。そこで、アカウント管理が重要になります。
 アカウント管理では、以下のようなルールにすべきです。
・必要がある人だけに、必要最低限のアクセス権を付与する
・一つの利用者IDは、一人の利用者だけが利用する →共用IDを使わない
・アカウントを付与する場合、承認者の承認を得る
・アカウントを利用する必要がなくなった場合は,速やかに削除する
・登録されているIDや利用者の権限などを定期的に点検する。
 
特権的アクセス権の管理
 アカウントには、利用者が使う一般アカウントと、システム管理者などが使う特権アカウントがあります。具体的には、LinuxシステムのrootやWindowsシステムのadministratorです。これらのアカウントは、アカウントの追加したりセキュリティ設定を変更するなどの特権的アクセス権を持っています。一般アカウントに比べて厳重な管理が必要です。

情報セキュリティスペシャリスト試験を目指す女性SE
必要な人に必要な最小限のみを与えるという考え方を「最小権限(need-to-know)」と言います。


H28SG午後問3では、CSA(Control Self Assessment:統制自己評価)に関する出題がありました。CSAの内容が丁寧に解説されていますので、引用します。
〔監査部による情報セキュリティ監査〕
R社監査部は, 1年に1回,   CSA (Control Self Assessment:統制自己評価)方式による情報セキュリティ監査を実施している。CSAとは,監査部が被監査部門を直接評価するのではなく,被監査部門が,自部門の活動を評価することを指す。R社監査部では,被監査部門にCSAの実施を依頼し,その結果を活用して監査を実施している。
R社では,5年前,監査の方式を決定するに当たり,②監査部が各部門を直接監査する方式とCSA方式の利点 欠点を比較評価した。その結果,R社にとってはCSA方式の方がメリットが大きいと判断し,  CSA方式を採用した。
R社の監査実施の手順を図1に示す。 
1.監査部が各部門にCSAシートを配布し,  CSAの実施と結果の提出を依頼する。
2.各部門は,  CSAシートを用いてCSAを実施する。
3.監査部が各部門から提出されたCSA結果を検証し,不明な点は当該部門に確認する。
4.   “NG"の評価項目がある場合,及び改善が必要と監査部が判断した場合は,当該部門に改善計画の策定と提出を依頼する。
(改善が必要になった場合は次を行う。)
5.改善が必要な部門は,改善計画を監査部に提出する。
6.監査部は,提出された改善計画が適切か確認する。
7.当該部門は,改善計画に基づき改善を実施する。
8.改善後,当該部門は監査部に改善結果を報告する。
9.監査部は改善された状況を確認し,適切であれば改善完了とする。
図I R社の監査実施の手順

設問2 本文中の下線②について,  CSA方式の利点を二つ,解答群の中から選べ。
解答群
ア 関連法規への準拠性が担保できる。
イ 業務内容の十分な理解に基づいて評価できる。
ウ 証跡を提出する必要がない。
エ 独立的な立場から公正に評価できる。
オ 評価実施者に対する意識付けや教育として役立つ。

設問2の正解は、イとオです。CSAならではの利点ですね。

紛失、盗難、メールの誤送信などは以前からある。
最近では、便利になったことによる 漏えいもある。
たとえば、2013年に起こった、大学での 個人情報の漏えいである。 これは、無料のネットサービスを業務で使っていたが、実は誰からも見れる状態にあったのである。
以下はIPAの呼びかけである。
http://www.ipa.go.jp/security/txt/2013/10outline.html

経済産業省の以下のサイトに事例がのっている
http://www.meti.go.jp/policy/it_policy/privacy/2-4-7.pdf
かなり地味だ。
人間がやることだからミスは避けられない。
システムで防ぐことは難しい。
11d7b807
確かに短縮ダイヤルでやれば間違いはないですね。
でも、新規送信先の場合、そもそもFAX送付先が引越しでFAX番号が変わっているかもしれません。2人体制でチェックしても意味がないのでは?



この事例では、空のFAXを送り、先方へ到着確認をしてから送っている。
本当に地味であるが、こういう地味な方法しかないのであろう。
または、FAXの誤送信を防ぐリスク低減策ではなく、FAXそのものを利用しないというリスク回避策をとることも選択肢だろう。

リスクとは何でしょうか。
601a33a7 

リスクと言われても、リスクはリスクです。
危険とか、そういう意味ですよね?
過去問(H17NW午前問51)では、「リスクとは、脅威が情報資産のぜい弱性を利用して、情報資産への損失又は損害を与える可能性のことである」と述べています。
リスクは、次の式で表されます。
リスク = 情報資産(の重要性) x 脅威 x 脆弱性

たとえば、銀行のオンラインバンキングで考えます。オンラインバンキングの口座に100万円という大金が入っていれば、これは資産の重要性が高くなります。また、簡単すぎるパスワードという脆弱性があれば、オンラインバンキングを狙う攻撃者という脅威がありますから、リスクが大きくなります。
 一方、通常の銀行口座であれば、これらの脆弱性や脅威は少なくなります。インターネット越しに攻撃ができないからです。つまり、リスクは小さくなります。
リスクは脅威と情報資産と脆弱性

情報資産
情報は全て資産と言えます。ただ、会社の所在地や電話番号などの情報は、お金をかけてセキュリティ対策をする価値はありません。企業HPなどにて公開しているからです。
ですから、セキュリティマネジメントにおける情報資産とは、「営業秘密」「個人情報」に代表される、企業にとって価値のある「資産」と考えましょう。
また、情報資産には、電子データの情報もあれば、紙ベースの情報もある。情報セキュリティで管理する資産は、両方が含まれている。また、情報資産は、個人情報などの「データ」だけではありません。サーバやネットワーク機器などの物理的資産,ソフトウェア資産,人や保有する資格・技能・経験などの人的資産,特許やノウハウといった無形資産などがあります。
情報セキュリティスペシャリスト試験を目指す女性SE 

それは、サーバなどにも顧客情報やら設定情報などの機密情報が含まれているからですか?
いや、データを含まなくても、機器そのものが情報資産と考えられる。ネットワーク機器も情報資産である。特に電子データによる情報資産は、これらの機器が存在して初めて情報資産としての価値がでる。また、情報セキュリティのCIAとして「可用性」という考え方があるように、使いたいときに使える状態になるというのも大事な要素なのである。つまり、サーバやネットワークがきちんと守られていてこそ利用できるので、大事な物理的情報資産である。

脆弱性
 上記で述べた脅威(DoS攻撃、ウイルスなど)が存在しても、それらの脅威に対抗できるだけの対処をしていればリスクにはならない。たとえば、泥棒に入られないようにするために、何重にも鍵をかけ、警備員やセンサー、監視カメラによって監視する。しかし、裏口には鍵がかかっていなければ、簡単に泥棒に入られてしまう可能性がある。この例でいう「裏口には鍵がかかっていない」ことが脆弱性である。脆弱性にはソフトウェアのバグやセキュリティホールに加え、人的な脆弱性(パスワードを安易なものにすることやウイルスソフトを実行しないなど)も存在する。

このページのトップヘ