後藤航太

Download Report

Transcript 後藤航太

第一回
情報セキュリティ
05A1027
後藤航太
はじめに
私は卒業論文のテーマとして「情報セキュリティ」について勉強
していこうと思っています。
理由 パソコンの導入やインターネットの普及で、企業や自治体などの
組織における情報資産の量が急増しています。
普及にともなって、「情報の漏洩」「情報改ざん」「情報の破壊」など
の被害が増えてきました。
このような被害から情報資産を守るためには、しっかりとした「情報
セキュリティ」対策が必要だと考えたからです。
内容 まだ具体的には決めていませんが、「情報セキュリティ対策」
「情報セキュリティ技術」「情報セキュリティポリシー」に関して
勉強していこうと思っています。
情報セキュリティとは
「情報セキュリティ」は、組織においてさまざまな脅威から
情報資産を守ることを目的としています。
「情報資産」とは、パソコンやネットワーク機器、ソフトウェアやデータなどの
「守るべき価値のある資産」のこと。
情報資産は、「有形資産」と「無形資産」に大別できます。
有形資産の例
紙に印刷されたデータ
サーバーコンピュータやパソコンなどのハードウェア
ネットワーク機器
無形資産の例
顧客情報や人事情報、売上情報などのデータ
OSやアプリケーションなどのソフトウェア
人間の知識や経験
「情報の漏洩」「情報の改ざん」「情報の破壊」などの被害に遭わないためにも、
しっかりとした情報セキュリティ対策が必要になっている。
現状では次のような理由からセキュリティ被害が絶えません




情報を守らなければならないという意識が浸透していない。
「自分だけは大丈夫」という意識から適切な対策を行っていない人が
いる。
インターネットは世界中のコンピュータと接続していることから、悪意の
ある人がほかのコンピュータに対して不正行為を行う可能性がある。
インターネットを利用した不正行為に対する法整備が進んでない。
被害を避けるための対策としては、情報システムやコンピュータに技術的な
情報セキュリティ対策を行う「技術対策」と、利用者意識の向上などを行う「非技
術対策」があげられる。
技術的対策の例
 ウイルス対策ソフトの導入
 修正プログラムの適用
非技術的対策の例
 利用者の教育
 セキュリティポリシーの策定および浸透
情報化社会の脅威
「脅威」とは、情報資産を脅かす直接の原因となるもののことです。
脅威
人による脅威
障害による脅威
自然災害による脅威
例
操作ミス、不正行為、ハッカーからの不正アクセス
ハードウェア障害、ネットワーク障害、設備障害
地震、火災、水害
「人による脅威」とは、
人間の操作ミスや不正行為といった行動から発生する脅威のことです。
「障害による脅威」とは、
コンピュータの故障やネットワークの不具合など、主にハードウェアやソフトウェアの
障害が原因で発生する脅威のことです。
「自然災害による脅威」とは、
地震、火災、水害などが原因で発生する脅威のことです。
ウイルスの脅威
「ウイルス」とは、Webページやメールを介してコンピュータに侵入し、コンピュータ
内のデータを破壊したり、ほかのコンピュータに増殖したりする悪意のあるプログ
ラムの総称です。
旧通産省(経済産業省)では、コンピュータに被害をおよぼす次の機能の
いずれかを持つものをウイルスと定義しています
機能
発病機能
自己伝染機能
潜伏機能
説明
プログラムやデータの破壊、システムの誤動作などを
引き起こさせる機能
自らをほかのコンピュータなどにコピーして増殖する機能
特定の日時や一定時間の経過後に発病する機能
情報漏洩と不正アクセスの脅威
「情報漏洩」とは、
本来その情報を扱うことができないはずの人に情報が
伝わってしまうことです。
「不正アクセス」とは、
権限のないユーザーが組織や個人のコンピュータに不正に
侵入したり、サービスを妨害したりする行為のことです。
不正行為
なりすまし
説明
例
正規のユーザーとして、情報を収集すること
管理者のIDとパスワードを盗み
出し利用する
盗聴
ネットワーク上のデータや保存されている
データを不正に入手すること
メールなどの個人データを盗み
見る
改ざん
データを書き替えること
Webページの改ざん
破壊
データを削除すること
ファイルの削除
ハードディスクの再フォーマット
処理しきれないような大量の要求を
コンピュータに送りつけること
Webサーバーをダウンさせる
サービス妨害
セキュリティポリシーの必要性
「セキュリティポリシー」とは組織全体の情報セキュリティ対策の方針を
文章化したものです。
セキュリティーポリシーには、組織において何が重要な情報資産であるか、
その情報資産をどのように守るかなどを記載します。
そのためには、情報セキュリティの目的である「機密性」「完全性」「可用性」の
3つの要素を脅威から守ることを念頭において、技術的な対策はもちろん、
システムの運用や利用者の意識啓発を盛り込んだ基本的な対策を記述する
必要がある。
機密性
許可されていない利用者が、情報にアクセスできないようにする
ことで、情報を守ることです。
完全性
組織内で処理されたデータが正しいこと、ネットワーク上で第三者
によって改ざんされることなく確実に相手に送信されているなどを
保証することです。
可用性
許可された利用者が確実に情報にアクセスできるようにすること
です。
セキュリティポリシーの目的
セキュリティポリシーの目的は、組織として統一された情報セキュリティを実現
することです。
ひとつの脅威には複数の情報セキュリティ対策があります。その中から「どの対
策をその組織の標準とするか」ということを示すことで、組織において統一された
情報セキュリティを実現することができます。
セキュリティポリシーが策定されていない組織では、ひとつの情報セキュリティに
対し複数の対策が考えられる場合、どの対策を実施すべきか個別の判断になっ
てしまいます。結果として、組織における情報セキュリティは、統一性を欠いた不
安定なものになっています。
セキュリティポリシーを策定することで、どの情報資産を、どのように守るのかと
いうルールを明確にでき、組織全体を通して統一性のある安定した情報セキュ
リティを実現することができます。
参考資料
事例で学ぶ情報セキュリティ(FOM出版)