1.ルールで守る - パスワード管理
人的セキュリティは、ルールを守ることもその一つである。
ルールと言えば、セキュリティポリシーですね。
でも、セキュリティポリシーでは、詳細な実施手順にまで踏み込まないですよね?
そう。実際には、情報セキュリティポリシー3階層目の「実施手順、規定類」が実際ルールだろう。
以下がその例で、パスワードの運用ルールである。
技術面での対策も含まれているが、運用面の対策も多い。
社内規定によって罰則が盛り込まれれば、社員のセキュリティ遵守の意識が高まるだろう。
| 引用(H20SU午後Ⅱ問1より) |
|---|
| ・パスワードを保存する場合には、その内容を暗号化すること ・パスワードを送信する場合には、その内容を暗号化すること ・利用者に対し、定期的にパスワードを変更するように促すこと ・利用者が自らパスワードを変更できること ・利用者が定期的にパスワードを変更していることを、管理者が確認できること ・利用者が定期的にパスワードを変更しないと、その利用者はシステムを利用できなくなること ・破られやすいパスワードは設定できないこと ・それまでに利用していたパスワードは再設定できないこと。 図2 パスワード管理に関するセキュリティ要件 |
でも、パスワードを厳しくすると、
覚えやすいものにするとか、
紙に書いて貼ったりすることが多くなりませんか?
そうなんだ。1ヶ月に1回変える」「以前のパスワードは使えない」「8文字以上で英数特殊な…」などとやると、運用上無理になり、そうなる。運用できてこそルールだね。
2.情報セキュリティ教育
デパートで洋服を買うときに、クレジットカードを渡すでしょ。レジは別のところにあるから、しばらくクレジットカードを渡すことになる。カード番号や裏のセキュリティコードを控えられてもおかしくないだけの時間があるわ。
これこそ人的セキュリティである。店側のルール順守、社員への教育も大事だ。
本気でやろうと思ったら、セキュリティは脅かされる。とはいえ、不正行為は足がつくし保険があるから、カード所有者に被害がいくとは限らない。
社員には定期的に情報セキュリティ教育を行うべきである。教育の中で、情報セキュリティに関する啓蒙活動を行うことも重要である。最近では、Webやe-learningの仕組みを使った社内教育を行う企業が増えてきている。
過去問を2つ解いてみましょう。
■(1)(H27年春IP)
| 過去問(H27年春IP) |
|---|
| 問63 社内の情報セキュリティ教育に関する記述のうち,適切なものはどれか。 ア 再教育は,情報システムを入れ替えたときだけ実施する。 イ 新入社員へは,業務に慣れた後に実施する。 ウ 対象は,情報資産にアクセスする社員だけにする。 エ 内容は,社員の担当業務,役割及び責任に応じて変更する。 |
↓
↓
↓
↓
↓
正解はエです。
■(2)(H27年秋IP)
| 過去問(H27年秋IP) |
|---|
| 問84 社員に対する情報セキュリティ教育の実施に関する記述a~dのうち,適切なものだけを全て挙げたものはどれか。 a 情報セキュリティ違反をした者に対する再教育に当たっては,同じ過ちを繰り返さないための予防処置も含める。 b 新入社員に対する研修プログラムに組み込む。 c 対象は情報システム部門に所属する社員に限定する。 d 定期的な実施に加えて,情報セキュリティに関わる事件や事故が発生した後にも実施する。 ア a,b,d イ a,c,d ウ a,d エ b,c |
↓
↓
↓
↓
↓
正解はアです。
3.情報セキュリティ監査の実施
人的セキュリティ対策に限ったことではないが、監査によるセキュリティ対策がある。
(1)CSA(Control Self Assessment:統制自己評価)
H28SG午後問3では、CSA(Control Self Assessment:統制自己評価)に関する出題がありました。CSAの内容が丁寧に解説されていますので、引用します。
| 引用(H28SG午後問3より) |
|---|
| 〔監査部による情報セキュリティ監査〕 R社監査部は,1年に1回,CSA (Control Self Assessment:統制自己評価)方式による情報セキュリティ監査を実施している。CSAとは,監査部が被監査部門を直接評価するのではなく,被監査部門が,自部門の活動を評価することを指す。R社監査部では,被監査部門にCSAの実施を依頼し,その結果を活用して監査を実施している。 R社では,5年前,監査の方式を決定するに当たり,②監査部が各部門を直接監査する方式とCSA方式の利点 欠点を比較評価した。その結果,R社にとってはCSA方式の方がメリットが大きいと判断し,CSA方式を採用した。 R社の監査実施の手順を図1に示す。 ------- 図1 R社の監査実施の手順 ここから ------- 1.監査部が各部門にCSAシートを配布し,CSAの実施と結果の提出を依頼する。 2.各部門は,CSAシートを用いてCSAを実施する。 3.監査部が各部門から提出されたCSA結果を検証し,不明な点は当該部門に確認する。 4.“NG"の評価項目がある場合,及び改善が必要と監査部が判断した場合は,当該部門に改善計画の策定と提出を依頼する。 (改善が必要になった場合は次を行う。) 5.改善が必要な部門は,改善計画を監査部に提出する。 6.監査部は,提出された改善計画が適切か確認する。 7.当該部門は,改善計画に基づき改善を実施する。 8.改善後,当該部門は監査部に改善結果を報告する。 9.監査部は改善された状況を確認し,適切であれば改善完了とする。 ------- 図1 R社の監査実施の手順 ここまで ------- 設問2 本文中の下線②について,CSA方式の利点を二つ,解答群の中から選べ。 解答群 ア 関連法規への準拠性が担保できる。 イ 業務内容の十分な理解に基づいて評価できる。 ウ 証跡を提出する必要がない。 エ 独立的な立場から公正に評価できる。 オ 評価実施者に対する意識付けや教育として役立つ。 |
設問2の正解は、イとオです。CSAならではの利点ですね。
4.FAXの誤送信対策は?
経済産業省の以下のサイトに事例がのっている
http://www.meti.go.jp/policy/it_policy/privacy/2-4-7.pdf
かなり地味だ。
人間がやることだからミスは避けられない。
システムで防ぐことは難しい。
確かに短縮ダイヤルでやれば間違いはないですね。
でも、新規送信先の場合、そもそもFAX送付先が引越しでFAX番号が変わっているかもしれません。2人体制でチェックしても意味がないのでは?
この事例では、空のFAXを送り、先方へ到着確認をしてから送っている。
本当に地味であるが、こういう地味な方法しかないのであろう。
または、FAXの誤送信を防ぐリスク低減策ではなく、FAXそのものを利用しないというリスク回避策をとることも選択肢だろう。
