1.情報セキュリティ対策の全体像
情報処理安全確保支援士試験では、脅威を理解するだけではなく、その対策が重要である。古い文献ではあるが、以下が整理されたセキュリティ対策の全体像だと思う。
http://www.ipa.go.jp/files/000014987.gif
以下に引用してみた。
| 1.人的組織的 | セキュリティ全般 | ・情報セキュリティポリシー(リスク分析・セキュリティ基本方針・対策基準・実施手順) ・対策ベンチマーク ・情報セキュリティマネジメントシステム(ISMS)の導入 ・情報漏洩防止強化対策 ・セキュリティ診断 ・侵入テスト ・監査(内部・外部) ・教育 |
| 2.技術的 | (1)ネットワーク・セキュリティ | ・侵入検知システム(IDS)/侵入防止システム(IPS) ・通信暗号化(IPSec、IP-VPN) ・DoS/DDoS対応(フィルタリング) ・ファイアウォール(パケット、フィルタリング) ・デジタル署名 ・アクセス制御 ・デバイス認証 ・WLAN(認証・暗号化) ・Fake AP |
| (2)クライアント・セキュリティ | ・セキュリティ・パッチ ・フィッシング対応 ・URLフィルタリング ・個人認証 ・パーソナルファイアウォール ・ウイルス駆除 ・ファイル暗号化 ・スパイウェア/アドウェア対応 ・SPAMメール対応 ・PC認証 ・メディア管理 ・プリンタ制限 ・検疫ネットワーク ・シン・クライアント化 ・シン・クライアントの導入 |
|
| (3)サーバー・セキュリティ | ・ユーザ認証 ・アクセス制御 ・権限管理 ・バックアップ ・負荷分散 ・セキュリティ・パッチ(適用・逐次更新)・セキュアーなWeb開発 ・ログ管理 ・メール・MSGスキャン ・DoS/DDoS対応(NDS、パケット制限) ・Trusted OS/Secure OS ・ウイルス駆除 ・改竄検知・防止 ・DBVS暗号化 |
|
| 3.物理的環境的 | セキュアな環境・施設・オフィス | ・セキュア・ソーニング ・セキュア・オフィス・施設・設備・什器(入退出管理、監視カメラ、バイオメトリクス認証、盗難・紛失防止備品) |
2. Top 4 security controls
情報処理安全確保支援士試験とは直接関係がないが、セキュリティ対策の考え方の基本として重要なので紹介する。オーストラリア政府がハッカーからの攻撃を大幅に減らしたセキュリティ対策が掲載されています。
http://www.theregister.co.uk/2015/06/02/patchcrazy_aust_govt_fought_off_every_hacker_since_2013/
それは、「Top 4 security controls」記載され、以下のたった4つのことです。
①アプリケーションのホワイトリスト
②アプリケーションへの定期的なパッチ
③OSへの定期的なパッチ
④管理者権限の最小化
なんともシンプルな対策ですね。
グラフを見ると、数字は書かれてありませんが、攻撃を90%以上防御したように見えます。
実際の対策としては、それ以外もあるとのことですが、ベースとなるのはこの4つだそうです。セキュリティ対策は、このような基本的な対策が大事だと考えております。
また、米国国防総省 (DoD)の調査でも、97~98%の攻撃の原因は、パッチ適用やシステム設定に起因したとある。
「the DOD did an analysis last year and it's somewhere in the high 90s, like 97 [percent] to 98 percent of things that have hit the DOD systems have been the result not of some new piece of technology but exploitation of people that have not had processes in place to install patches or to configure their systems properly.」