- 1.人的セキュリティ対策とは
- 2.情報漏えい対策
- 3.アカウント管理
- 4.人的事故の例
- 5.ルールで守る - パスワード管理
- 6.情報セキュリティ教育
- 7.情報セキュリティ監査の実施
- 8.FAXの誤送信対策は?
1.人的セキュリティ対策とは
結婚して社宅に住んでいる兄が言っていましたが、
なぜか隣の奥さんが、自分の給料の額や人事異動情報までも知っている。
って言ってました。
たしかにその人の旦那さんは人事部だけどって。
本来は奥さんであれど、権限的に知り得ない情報だね。
でも、上司の口が軽くて全部しゃべってるんじゃないのかな。
それと…。
パスワードをかけていても、紙に書いているとか、部内の何人かは知っているということがよくある。上司しか権限のない仕事でも、外出してやむを得ないなどの理由で、自分のパスワードを部下に教え、部下にやらせることがあるようだ。
このように、セキュリティは人的な問題で漏えいすることが多い。むしろその方が多いであろう。
ここで、セキュリティ対策の整理
■セキュリティ対策の3分類
(1)人的対策
(2)物理的対策
(3)技術的対策
以下のサイトがよくまとまっている。さすがIPA
(旧リンク)http://www.ipa.go.jp/security/manager/protect/pdca/risk.html
ここでは、人的対策について解説する。
応用情報のシラバスでは、以下の記載がある。
| 引用(応用情報のシラバス) |
|---|
| ① 人的セキュリティ対策 人的セキュリティ対策として,人による誤り,盗難,不正行為のリスクなどを軽減するための教育と訓練,事件や事故に対して被害を最小限にするための対策を理解する。 用語例 情報セキュリティポリシ,社内規程,情報セキュリティ教育,情報セキュリティ訓練,情報セキュリティ啓蒙,事件事故への対処マニュアル作成とその遵守,パスワード管理,アカウント管理,need-to-know,ログ管理,監視,情報漏えい対策,プライバシーマーク,セキュリティ担当者,内部統制 |
2.情報漏えい対策
H23SC春午後I問3では、情報漏えい対策の例が述べられている。
[ a ]に入る字句と、①の注意点を述べよ。
情報漏えいリスク |
リスクに対して 有効と考えられる対策 |
|
|---|---|---|
| (ア)盗難、紛失 | 持出中に貸与PCが盗まれる又は紛失する。 | ・情報を秘匿するための[ a ] ・①貸与PCの安全な持運びに関する注意点の周知 |
| (イ)マルウェアに感染 | ・持出中に貸与PCがマルウェアに感染する。 ・マルウェアに感染した貸与PCで情報を持ち出す。 |
・社外でのインターネット接続の禁止 ・ウイルス対策ソフトの導入 ・会社指定ソフトウェア以外のインストール禁止 ・セキュリティーパッチ適用の徹底 |
| (ウ)不正開示 | 持出中にE社従業員が、開示が許可されている対象者以外に(故意又は過失で)情報を開示してしまう。 | 開示可能範囲の周知 |
| (エ)盗み見 | 持出中に貸与PCの画面をのぞき見られる | ・プライバシフィルタの利用 ・第三者から見られる場所での利用を禁止した規定の周知 |
勉強なので、対策を手で隠すなどして、自分で考えてみよう。
これ以外にも対策はたくさんあるが。
正解は、aは「暗号化」、①は「常に携帯して手放さない」こと。
情報漏えいをしないよう、気を付けていますが、
銀行の口座番号を教えることはセキュリティ上問題ないのでしょうか?
オークション取引で教えるのが不安です。
お金を引き出されたりしないかという不安だと思うが、それは問題ない。
通帳やカード、印鑑等がないと何もできないからね。
口座情報は企業ではふつうに知らせるし、サイトに公開いているところもある。
しかし、インターネットバンキングをやっていて、それらのID等を教えるのは危険だから注意しよう。
3.アカウント管理
(1)アカウント管理
アカウントとは、ユーザ名とパスワードのセットと考えてください。システムへはアカウント情報をもとにログインします。よって、不正なアカウントをサーバに残していたり、一般社員なのに管理者の権限が与えられていたりすると、システムを不正に利用される可能性があります。そこで、アカウント管理が重要になります。
アカウント管理では、以下のようなルールにすべきです。
・必要がある人だけに、必要最低限のアクセス権を付与する
・一つの利用者IDは、一人の利用者だけが利用する →共用IDを使わない
・アカウントを付与する場合、承認者の承認を得る
・アカウントを利用する必要がなくなった場合は,速やかに削除する
・登録されているIDや利用者の権限などを定期的に点検する。
(2)特権的アクセス権の管理
アカウントには、利用者が使う一般アカウントと、システム管理者などが使う特権アカウントがあります。具体的には、LinuxシステムのrootやWindowsシステムのadministratorです。これらのアカウントは、アカウントの追加したりセキュリティ設定を変更するなどの特権的アクセス権を持っています。一般アカウントに比べて厳重な管理が必要です。
必要な人に必要な最小限のみを与えるという考え方を「最小権限(need-to-know)」と言います。
4.人的事故の例
紛失、盗難、メールの誤送信などは以前からある。
最近では、便利になったことによる 漏えいもある。
たとえば、2013年に起こった、大学での 個人情報の漏えいである。 これは、無料のネットサービスを業務で使っていたが、実は誰からも見れる状態にあったのである。
以下はIPAの呼びかけである。
(旧リンク)http://www.ipa.go.jp/security/txt/2013/10outline.html
5.ルールで守る - パスワード管理
人的セキュリティは、ルールを守ることもその一つである。
ルールと言えば、セキュリティポリシーですね。
でも、セキュリティポリシーでは、詳細な実施手順にまで踏み込まないですよね?
そう。実際には、情報セキュリティポリシー3階層目の「実施手順、規定類」が実際ルールだろう。
以下がその例で、パスワードの運用ルールである。
技術面での対策も含まれているが、運用面の対策も多い。
社内規定によって罰則が盛り込まれれば、社員のセキュリティ遵守の意識が高まるだろう。
| 例:パスワードの運用ルール(H20SU午後Ⅱ問1より引用) |
|---|
| ・パスワードを保存する場合には、その内容を暗号化すること ・パスワードを送信する場合には、その内容を暗号化すること ・利用者に対し、定期的にパスワードを変更するように促すこと ・利用者が自らパスワードを変更できること ・利用者が定期的にパスワードを変更していることを、管理者が確認できること ・利用者が定期的にパスワードを変更しないと、その利用者はシステムを利用できなくなること ・破られやすいパスワードは設定できないこと ・それまでに利用していたパスワードは再設定できないこと。 図2 パスワード管理に関するセキュリティ要件 |
でも、パスワードを厳しくすると、
覚えやすいものにするとか、
紙に書いて貼ったりすることが多くなりませんか?
そうなんだ。1ヶ月に1回変える」「以前のパスワードは使えない」「8文字以上で英数特殊な…」などとやると、運用上無理になり、そうなる。運用できてこそルールだね。
6.情報セキュリティ教育
デパートで洋服を買うときに、クレジットカードを渡すでしょ。レジは別のところにあるから、しばらくクレジットカードを渡すことになる。カード番号や裏のセキュリティコードを控えられてもおかしくないだけの時間があるわ。
これこそ人的セキュリティである。店側のルール順守、社員への教育も大事だ。
本気でやろうと思ったら、セキュリティは脅かされる。とはいえ、不正行為は足がつくし保険があるから、カード所有者に被害がいくとは限らない。
社員には定期的に情報セキュリティ教育を行うべきである。教育の中で、情報セキュリティに関する啓蒙活動を行うことも重要である。最近では、Webやe-learningの仕組みを使った社内教育を行う企業が増えてきている。
過去問を2つ解いてみましょう。
■(1)(H27年春IP)
| 過去問(H27年春IP) |
|---|
| 問63 社内の情報セキュリティ教育に関する記述のうち,適切なものはどれか。 ア 再教育は,情報システムを入れ替えたときだけ実施する。 イ 新入社員へは,業務に慣れた後に実施する。 ウ 対象は,情報資産にアクセスする社員だけにする。 エ 内容は,社員の担当業務,役割及び責任に応じて変更する。 |
↓
↓
↓
↓
↓
正解はエです。
■(2)(H27年秋IP)
| 過去問(H27年秋IP) |
|---|
| 問84 社員に対する情報セキュリティ教育の実施に関する記述a~dのうち,適切なものだけを全て挙げたものはどれか。 a 情報セキュリティ違反をした者に対する再教育に当たっては,同じ過ちを繰り返さないための予防処置も含める。 b 新入社員に対する研修プログラムに組み込む。 c 対象は情報システム部門に所属する社員に限定する。 d 定期的な実施に加えて,情報セキュリティに関わる事件や事故が発生した後にも実施する。 ア a, b, d イ a, c, d ウ a, d エ b, c |
↓
↓
↓
↓
↓
正解はアです。
7.情報セキュリティ監査の実施
人的セキュリティ対策に限ったことではないが、監査によるセキュリティ対策がある。
(1)CSA(Control Self Assessment:統制自己評価)
H28SG午後問3では、CSA(Control Self Assessment:統制自己評価)に関する出題がありました。CSAの内容が丁寧に解説されていますので、引用します。
| 過去問(H28SG午後問3) |
|---|
| 〔監査部による情報セキュリティ監査〕 R社監査部は,1年に1回,CSA (Control Self Assessment:統制自己評価)方式による情報セキュリティ監査を実施している。CSAとは,監査部が被監査部門を直接評価するのではなく,被監査部門が,自部門の活動を評価することを指す。R社監査部では,被監査部門にCSAの実施を依頼し,その結果を活用して監査を実施している。 R社では,5年前,監査の方式を決定するに当たり,②監査部が各部門を直接監査する方式とCSA方式の利点 欠点を比較評価した。その結果,R社にとってはCSA方式の方がメリットが大きいと判断し,CSA方式を採用した。 R社の監査実施の手順を図1に示す。 ------- 図1 R社の監査実施の手順 ここから ------- 1.監査部が各部門にCSAシートを配布し,CSAの実施と結果の提出を依頼する。 2.各部門は,CSAシートを用いてCSAを実施する。 3.監査部が各部門から提出されたCSA結果を検証し,不明な点は当該部門に確認する。 4.“NG"の評価項目がある場合,及び改善が必要と監査部が判断した場合は,当該部門に改善計画の策定と提出を依頼する。 (改善が必要になった場合は次を行う。) 5.改善が必要な部門は,改善計画を監査部に提出する。 6.監査部は,提出された改善計画が適切か確認する。 7.当該部門は,改善計画に基づき改善を実施する。 8.改善後,当該部門は監査部に改善結果を報告する。 9.監査部は改善された状況を確認し,適切であれば改善完了とする。 ------- 図1 R社の監査実施の手順 ここまで ------- 設問2 本文中の下線②について,CSA方式の利点を二つ,解答群の中から選べ。 解答群 ア 関連法規への準拠性が担保できる。 イ 業務内容の十分な理解に基づいて評価できる。 ウ 証跡を提出する必要がない。 エ 独立的な立場から公正に評価できる。 オ 評価実施者に対する意識付けや教育として役立つ。 |
↓
↓
↓
↓
↓
設問2の正解は、イとオです。CSAならではの利点ですね。
8.FAXの誤送信対策は?
経済産業省の以下のサイトに事例がのっている
http://www.meti.go.jp/policy/it_policy/privacy/2-4-7.pdf
かなり地味だ。
人間がやることだからミスは避けられない。
システムで防ぐことは難しい。
確かに短縮ダイヤルでやれば間違いはないですね。
でも、新規送信先の場合、そもそもFAX送付先が引越しでFAX番号が変わっているかもしれません。2人体制でチェックしても意味がないのでは?
この事例では、空のFAXを送り、先方へ到着確認をしてから送っている。
本当に地味であるが、こういう地味な方法しかないのであろう。
または、FAXの誤送信を防ぐリスク低減策ではなく、FAXそのものを利用しないというリスク回避策をとることも選択肢だろう。
