情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

8.人的セキュリティ > 8.1 人的セキュリティとは

929c854c
結婚して社宅に住んでいる兄が言っていましたが、
なぜか隣の奥さんが、自分の給料の額や人事異動情報までも知っている。
って言ってました。
たしかにその人の旦那さんは人事部だけどって。


本来は奥さんであれど、権限的に知り得ない情報だね。
でも、上司の口が軽くて全部しゃべってるんじゃないのかな。
それと…。
パスワードをかけていても、紙に書いているとか、部内の何人かは知っているということがよくある。上司しか権限のない仕事でも、外出してやむを得ないなどの理由で、自分のパスワードを部下に教え、部下にやらせることがあるようだ。
このように、セキュリティは人的な問題で漏えいすることが多い。むしろその方が多いであろう。
ここで、セキュリティ対策の整理

セキュリティ対策の3分類
人的対策
物理的対策
技術的対策
以下のサイトがよくまとまっている。さすがIPA
http://www.ipa.go.jp/security/manager/protect/pdca/risk.html

ここでは、人的対策について解説する。
応用情報のシラバスでは、以下の記載がある。
① 人的セキュリティ対策
人的セキュリティ対策として,人による誤り,盗難,不正行為のリスクなどを軽減するための教育と訓練,事件や事故に対して被害を最小限にするための対策を理解する。

用語例
情報セキュリティポリシ,社内規程,情報セキュリティ教育,情報セキュリティ訓練,情報セキュリティ啓蒙,事件事故への対処マニュアル作成とその遵守,パスワード管理,アカウント管理,need-to-know,ログ管理,監視,情報漏えい対策,プライバシーマーク,セキュリティ担当者,内部統制

H23SC春午後I問3では、情報漏えい対策の例が述べられている。
[ a ]に入る字句と、①の注意点を述べよ。
情報漏えいリスクリスクに対して
有効と考えられる対策
(ア)盗難、紛失持出中に貸与PCが盗まれる又は紛失する。・情報を秘匿するための[  a  ] 
①貸与PCの安全な持運びに関する注意点の周知
(イ)マルウェアに感染・持出中に貸与PCがマルウェアに感染する。
・マルウェアに感染した貸与PCで情報を持ち出す。
・社外でのインターネット接続の禁止
・ウイルス対策ソフトの導入
・会社指定ソフトウェア以外のインストール禁止
・セキュリティーパッチ適用の徹底
(ウ)不正開示持出中にE社従業員が、開示が許可されている対象者以外に(故意又は過失で)情報を開示してしまう。開示可能範囲の周知
(エ)盗み見持出中に貸与PCの画面をのぞき見られる・プライバシフィルタの利用
・第三者から見られる場所での利用を禁止した規定の周知
勉強なので、対策を手で隠すなどして、自分で考えてみよう。
これ以外にも対策はたくさんあるが。
正解は、aは「暗号化」、①は「常に携帯して手放さない」こと。
dcf52feb

情報漏えいをしないよう、気を付けていますが、
銀行の口座番号を教えることはセキュリティ上問題ないのでしょうか?
オークション取引で教えるのが不安です。


お金を引き出されたりしないかという不安だと思うが、それは問題ない。
通帳やカード、印鑑等がないと何もできないからね。
口座情報は企業ではふつうに知らせるし、サイトに公開いているところもある。
しかし、インターネットバンキングをやっていて、それらのID等を教えるのは危険だから注意しよう。

アカウント管理
 アカウントとは、ユーザ名とパスワードのセットと考えてください。システムへはアカウント情報をもとにログインします。よって、不正なアカウントをサーバに残していたり、一般社員なのに管理者の権限が与えられていたりすると、システムを不正に利用される可能性があります。そこで、アカウント管理が重要になります。
 アカウント管理では、以下のようなルールにすべきです。
・必要がある人だけに、必要最低限のアクセス権を付与する
・一つの利用者IDは、一人の利用者だけが利用する →共用IDを使わない
・アカウントを付与する場合、承認者の承認を得る
・アカウントを利用する必要がなくなった場合は,速やかに削除する
・登録されているIDや利用者の権限などを定期的に点検する。
 
特権的アクセス権の管理
 アカウントには、利用者が使う一般アカウントと、システム管理者などが使う特権アカウントがあります。具体的には、LinuxシステムのrootやWindowsシステムのadministratorです。これらのアカウントは、アカウントの追加したりセキュリティ設定を変更するなどの特権的アクセス権を持っています。一般アカウントに比べて厳重な管理が必要です。

情報セキュリティスペシャリスト試験を目指す女性SE
必要な人に必要な最小限のみを与えるという考え方を「最小権限(need-to-know)」と言います。


紛失、盗難、メールの誤送信などは以前からある。
最近では、便利になったことによる 漏えいもある。
たとえば、2013年に起こった、大学での 個人情報の漏えいである。 これは、無料のネットサービスを業務で使っていたが、実は誰からも見れる状態にあったのである。
以下はIPAの呼びかけである。
http://www.ipa.go.jp/security/txt/2013/10outline.html

このページのトップヘ