情報管理(その5)

JR
目次

4.5 情報セキュリティ

近年、外部の者によりホームページが書き換えられる事件や、組織内に留めておくべき情報が外部または内部の者により盗まれる事件が多発している。このような情報に関する犯罪が増加しており、社会が情報化、ネットワーク化への依存度を強めるに従い、情報セキュリティの重要性が以前にも増して高まっている。
 セキュリティという言葉は、一般的には防犯を意味する。一般的な防犯ではその対象は人間や建物であるが、情報セキュリティにおける対象は、広い意味での情報である。
ネットワーク社会と呼ばれる今日では、コンピュータで管理する情報の割合が高くなっているが、それ以外の紙面の文書やマニュアル類、メモ、電話の会話などについても、情報セキュリティの対象である。つまり、情報セキュリティとは、まずは情報を破壊や漏洩、盗難などから守ることであり、さらに情報システムの機能を守ることも含まれると考えるべきである。そして、情報セキュリティを具体的に実施するためには、その基準となるセキュリティポリシーを策定し、それに基づいて情報リスクの把握と対策の立案、実施を適切に行っていく必要がある。

4.5.1 セキュリティポリシー

セキュリティポリシーとは、情報セキュリティに関する活動を行うための基準であり、セキュリティポリシーに従って具体的な対策が検討され実施されることとなる。このため、セキュリティポリシーに不備があれば、効果的な対策を行うことができない。以下では、セキュリティポリシーを策定する際の注意点を示す。
(1)組織の長が深く関与しなければならない
   情報や情報システムに関するセキュリティ対策は、組織全体に関わる問題であり、組織全体として取り組む問題と考える必要がある。組織の長が深く関与しなければ、組織は動かない場合がある。また、セキュリティ対策をどこまで行うかは、セキュリティレベルとコストの視点、及び市場競争における差別化(信用失墜を防ぐ手段)の視点から判断する必要があり、組織の長が決める必要がある。
(2)既成のものの真似ではなく自ら策定する必要がある(自主作成)
   組織によって守るべき情報の種類や対処すべき情報リスクの種類も異なり、さらに経営環境も異なることから、真似したものが自らの組織に適したものとはならない。
(3)現場で実行できる内容である必要がある(実行性)
   セキュリティポリシーを高く掲げても実現困難なものでは意味が無いため、現場で実施できるレベルのセキュリティ対策を導き出すものでなければならない。
   このようにして策定されたセキュリティポリシーを基に具体的な対策が検討され、ダウンロードの禁止やFDの持ち出し禁止などといった行動規準やマニュアルの作成、バックアップ装置の整備や回線の二重化などのハード対策が行われる。

4.5.2 情報リスク

情報リスクとは、情報の破壊や漏洩、盗難、及びコンピュータのダウンなど情報を管理するシステムの機能障害に関するリスクを意味する。

4.5.3 人為的な情報リスク

 情報リスクには、自然災害や事故・障害のような偶発的なものと、コンピュータ犯罪のような人為的なものがある。ホームページの改ざんなど近年特に問題となっているのは人為的な情報リスクであり、この点が安全に関わる他のリスクとは大きく異なる。故意に基づくリスクであるため対策も容易ではなく、またインターネットに接続している全ての組織がその対象となる可能性があり、組織にとって大きな脅威となりうるリスクである。 
 ここでは、具体的に組織を脅かす情報リスクを理解するために、実際に起きており大きな脅威となっている人為的な情報リスクの例を示す。
(1)コンピュータウィルス
コンピュータウィルスは、第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムである。中にはデータを破壊するだけでなく、感染したコンピュータからネットワーク上で接続された他のコンピュータに自分自身をコピーしたり、コンピュータ内に記録されているアドレス宛に自分自身を添付ファイルとした電子メールを送信したりして、感染拡大を試みるのも存在する。コンピュータウィルスによる被害拡大を防止するためにも、ウィルス感染を早期に発見することが重要である。早期発見により、感染したコンピュータの被害軽減や他のコンピュータへの感染防止に関する対策を行うことが可能となる。
(2)メール爆弾、迷惑メール(スパムメール)
  メール爆弾は、電子メールを大量に送りつけて相手のメールサーバーを破壊する行為である。 Webサーバに一度に非常に多くのアクセスを行うことにより、Webをダウンさせる攻撃もメール爆弾に似ている。迷惑メールは、受け手の意思を無視して一方的に送られてくるメールのことをいう。送り手はほとんどコストをかけずに送ることができるため、大量の迷惑メールが送信され、受け取る側にも、またネットワークを維持管理する側にも、至極迷惑な存在である。
(3)情報漏洩
 情報の流出形態には、大別して二つの形態がある。一つは、組織内部の者がその立場を利用して情報を持ち去る内部の不正であり、もう一つは、組織外部の者がインターネットを経由して社内システムに侵入し情報を盗み出す外部の不正である。
(4)不正アクセス
  不正アクセスには、単にコマンドを入力するものから、専用のプログラムを使って行うものまで様々である。手口としては、パスワードを解読するものやセキュリティホールを悪用するものなどが存在している。以下に代表的な不正アクセスの種類を示す。
① 相手のシステムやサービスを停止させる攻撃
② 相手のシステムを誤作動させ重要情報を盗む攻撃
③ システムの管理者権限を奪う攻撃
④ ネットワーグ回線の盗聴
(5)組織に不利益な情報発信
  ホームページや希望する読者に電子メールを一斉配信するメールマガジンの中には、組織にとって具合の悪い情報を発信しているものもある。これらは、内容の正否に関わらず、組織の信用や顧客、投資家などに不利益をもたらす可能性があり、組織としては見過ごすことのできない情報リスクである。

4.5.4 情報リスクの把握と対策

 組織には、具体的な損害や組織の社会的信頼性の低下をもたらす様々な情報リスクが存在する。また、情報リスクの被害の程度は様々であるが、中には組織の存亡に関わるものも存在する。特に、今日の情報システムはインターネットなどのネットワークを利用している部分が大きくなってきているため、情報セキュリティ対策を行う必要性が以前よりも高まっている。
 情報セキュリティ対策を行うためには、まず組織内に潜む情報リスクの要因を把握し、情報リスクの種類や程度、影響度などを理解することが必要であり、その結果を踏まえて具体的な改善策を検討することとなる。情報リスクを診断する手法の例としては、以下のものが挙げられる。
(1)組織内の関係者に聞き取りを行うヒアリング調査
(2)組織内の情報システムや組織内部を直接見て回る直接診断
(3)コンピュータ犯罪と同じ手段で組織の情報システムに攻撃を試みて診断するシミュレーション診断
(4)あらかじめ設定したチェック項目を採点する調査表診断
 これらの診断はセキュリティポリシーを基に行われる。具体的な内容は組織の規模や目的に応じて様々であるが、主な診断項目としては以下のようなものが挙げられる。
(1)システム運用管理
(2)事故対策・災害対策
(3)不正アクセス対策
(4)ウィルス対策
(5)バックアップ対策
(6)内部不正対策
(7)教育運営管理
 これらの診断を経て検討、実施される情報リスク対策の例を以下に示す。
(1)情報の喪失
 ① 定期的にバックアップを行う。
 ② 地震や火災などを想定し、離れた場所にバックアップセンターを設置する。
(2)情報漏えい
  ① 各種外部媒体(フロッピーディスク、CD-ROM、MO、DVDなど)や文書によるデータの持ち出しを禁止する。
 ② 文書や磁気メディアなどの廃棄に際して、適切な手続きを設定する。
 ③ 社外へのメール転送を制限する。
 ④ 通信回線における盗聴に対する対策を行う。
 ⑤ 暗号化、誤発信防止などの対策をとる。
(3)情報管理機能の破壊
 ① 代替システムを設置する。
(4)情報管理機能の低下
 ① 災害時、停電時を想定し、UPS(無停電電源装置)のような代替電源を確保する。
 ② 災害などにより回線が切断されることを想定し、回線の多重化を行う。
 ③ ねずみによる回線切断を防ぐため、食べ物などを放置しないように指導する。
 ④ 異常な負荷によるマシンのダウンを防ぐため、負荷の分散化を図る。
(5)情報管理装置の破壊
 ① 地震などに対する転倒防止策を実施する。
  ② 火災時の放水、湿気などに対する防水対策を実施する。
  ③ 室内温度の上昇に対する冷却対策を実施する。
(6)不正アクセス
  ①ファイヤウォールなどによりシステムの防御性能を高くする。
 ②防御壁を乗り越えてくる者(不正アクセス)を監視する。
 ③一般ユーザーへの適切な権限付与を行う。
 ④ログインしたままで席を立たない。
 ⑤パスワードの管理・利用方法について十分に注意する。またそのための指導を行う。パスワードは不正アクセスによって盗まれることもあるが、廃棄されたハードディスクやフロッピーディスクなどから、あるいはゴミ箱に入っていたパスワードを書いたメモから、さらにはパスワードを打つ手元を見て、といった社会的・物理的な方法でパスワードを盗む方法(近年、ソーシャル・エンジニアリングと呼ばれる)もあるので注意が必要である。
 (7)コンピュータウィルスによる被害
 ① 不正コピーを行わないように指導する。
 ② ダウンロードなどファイルのやり取りに注意するように指導する。
 ③ 定期的に新しいウィルス定義ファイルに更新する。
 ④ 定期的にバックアップを行う。
 ⑤ 不審な送信元からの電子メールや添付ファイルは不用意に開かない。
 ⑥ ウィルスに感染してしまったら、まず端末をネットフーグから切り離し、直ちにワクチンソフトなどを用いてウィルスの駆除を行う。
参考:日本技術士会

技術士二次試験対策は考える力が重要です。
技術士試験対策はお任せください。

技術士試験対策は横浜すばる技術士事務所

技術士二次試験対策は要領です。

合格する論文の黄金法則

総監勉強法

総監受験対策資料

選択科目2

必須科目添削講座

選択科目

選択科目添削講座

受験対策

総監論文添削講座

よかったらシェアしてね!

この記事を書いた人

横浜すばる技術士事務所代表
技術士(建設部門ー施工計画、施工設備及び積算) (総合技術監理部門)
あなたの技術士合格を応援します。

目次