・どの情報を誰が読み取れるようにするか ・どの操作を誰に対して許可するか ・どのデータを暗号化するか ・情報の目的外利用や外部からの侵入、機密漏洩などを防止するための方針 ・コンピュータウイルス感染によるデータやシステムの破壊の防止 ・トラブルによる情報システムの停止、データの喪失などへの対処
| 目次に戻る |
●情報セキュリティ基本方針:
情報システムに対する危機管理の考え方の基本となるもので、
一般的に不変の内容。(頻繁に改定を行う性質のものではない。)
情報セキュリティ対策として何を行うのかを記載する。
◎情報資産の評価
・企業の情報資産の識別
・情報資産の機密性・完全性・可用性の観点からの
重要度・致命度の評価
* 機密性(Confidentiality)
アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
(暗号化や認証システムの導入、等)
* 完全性(Integrity)
情報および処理方法が正確であることおよび完全であることを保護すること。
(ファイアウォールで情報の改竄を防止する、等)
* 可用性(Availability)
認可された利用者が、必要なときに、
情報および関連する資産にアクセスできることを確実にすること。
(サーバシステムの二重化、等)
・情報資産の説明と承認
◎脅威の認識
・脅威の分類・整理
* 情報の改竄
* 情報の漏洩
* 資源の浪費
* 資源の不正利用
* 人的な過失
・脅威の動機
* 攻撃者の種類
-「スクリプトキディ」…クラッカーとしての技術力の高くない初心者。
インターネット上にあるクラッキングツール等を試しに使ってみる程度。
* 攻撃の動機
- 無知、不用意
- いたずら
- 自己顕示
- 金銭
- テロ・戦争
- 復讐
・脆弱性
* プロトコルと脆弱性
- TCP/IP
- ICMP
- UDP
- NNTP
- HTTP
- SMTP、S/MIME
- FTP
- NFS、NIS
- DNS
- TFTP
- Whois
- finger
* 製品システムの脆弱性
* 開発システムの脆弱性
* システム設定の脆弱性
* システム運用の脆弱性
* 社会工学による脆弱性
* 物理的アクセスの脆弱性
* 開発手法による脆弱性
・攻撃の種類
* 不正アクセス
* 盗聴
* なりすまし
* DoS (Denial of Services)
一度に大量データをサーバに送付してシステムダウンさせる等の攻撃。
「使用不能攻撃」「サービス妨害攻撃」などとも呼ばれる。
* DDoS (Distributed DoS)
複数の場所からひとつのサーバを集中して攻撃する手法。
* コンピューターウィルス【computer virus】
- トロイの木馬型ウィルス
普通のプログラムやファイルのように見せかけ、
ユーザーが気がつかないうちに、何らかの破壊活動や
データを外部に流出させるなどの行動を取る。
- ステルス型ウィルス (Stealth Type Virus)
ウィルス対策ソフトによる発見を逃れるために、ウィルスが
ウィルス対策ソフトからのチェックに対して、
感染前のファイルサイズや内容を見せる。
メモリに常駐してOSのシステムコールを乗っ取り、
ファイルやメモリの検査において嘘の情報を返却する。
- ミューテーション型ウィルス (ポリモフィック型ウィルス)
ウィルス対策ソフトによる発見を逃れるために、
自己複製の度にウィルスの暗号化コードをランダムに変化させる。
- マクロ型ウィルス
ワープロソフトや表計算ソフトのマクロ機能を悪用したもので、
データファイルに潜み、ファイルを開くことで起動・感染する。
* ワーム【computer worm】
通常のウイルスは感染の対象となるファイルといっしょになって、
パソコン間を移動するが、そのようなファイルを必要とせずに、
自力でネットワークを経由して多くのパソコンに感染する。
スクリプト言語やマクロ言語で簡易に記述されたものは亜種の登場も
早く、電子メールを介して爆発的な速度で自己増殖するものも現れ、
大きな問題となっている。
* ソーシャルエンジニアリング
人間の心理や間違いを悪用して情報を引き出す手法。
* クロスサイトスクリプティング (XSS)Cross Site Scripting
ソフトウェアのセキュリティホールの一つ。
Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、
悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性。
- 悪意を持ったユーザがフォームなどを通して
JavaScriptなどのスクリプトコードを入力する。
- プログラム側に適切なチェック機構がない場合、
そのスクリプト内容がそのままHTMLに埋め込まれ、
ページを閲覧したコンピュータでスクリプトが実行されてしまう事がある。
- Webブラウザではページ作成者以外が埋め込んだものであると認識できないため、
ブラウザ側でこの問題を防止するには、
スクリプトを使用しない設定にするしか無い。
- ユーザに認識のないまま他所のスクリプトを呼び出して実行するよう
仕向けることが可能なため、「クロスサイト」の名がついている。
- スクリプトの内容によってはCookieデータの盗聴や改竄などが可能なため、
商取引に使ったCookieを横取りして、本人になりすまして物品の購入を行う等、
様々な損害を与える可能性がある。
| 目次に戻る |
●情報セキュリティ対策基準
情報セキュリティ基本方針を基準とした、現状の情報システムに対する危機管理方法の規約。
情報セキュリティ基本方針をより具体化したもので、誰がどのような責任を持ち、
どのように対策を実施するのかを記述する。
◎企業活動一般のセキュリティ対策基準
・セキュリティ基準には、セキュリティ方針の策定で整理された対策が
全て網羅されていること。
・企業活動一般のセキュリティ規定
(1) 雇用契約・職務規定
(2) 機密/文書/情報管理規定
(3) セキュリティ教育の規定
(4) 罰則の規定
(5) 対外説明の規定
(6) 例外の規定
(7) 規則変更の規定
◎情報システムのセキュリティ対策基準
・セキュリティ基準には、セキュリティ方針の策定で整理された対策が
全て網羅されていること。
・情報システムのセキュリティ規定
(1) インターネット利用規定
(2) インターネット向け公開サーバの設置および管理規定
(3) 社内サーバおよびクライアントの設置および管理規定
(4) リモートアクセスポイントの設置および管理規定
(5) アプリケーションインストール規定
(6) データ管理の規定
(7) コンピューターウィルス対策運用規定
(8) 緊急時対応の規定
(9) セキュリティ監査の規定
(10) 情報システム管理者の規定
(11) システム開発の規定
| 目次に戻る |
《運用管理》 ◎セキュリティ運用手続きの実施 ・ID、パスワードの運用・管理 ・ユーザセキュリティ管理 ・契約管理 ・要員管理 ・障害復旧計画◎システム動作の監視と記録 ◎システム保守 ◎利用者教育 ◎セキュリティ技術者教育 《分析》 ◎事故の検知 ・IDS(Intrusion Detection System:侵入検知ツール) * ネットワークベース…ネットワークトラフィックをモニターし、 不正なトラフィックの抽出を行う。 * ホストベース…ホストにインストールし不正アクセスを検出する。 ◎事故の初動処理 ◎事故の分析 ◎事故からの復旧 ◎再発防止策の実施 ◎セキュリティの評価 《見直し》 ◎技術情報の収集と評価 ◎運用上の問題点整理と分析 ◎技術上の問題点整理と分析 ◎新たなリスクの整理と分析 ◎セキュリティポリシの更新
バックアップをアウトソーシングする形態
- ホットサイト方式:
遠隔地(オフサイト)にバックアップ用の施設や機能を準備しておき、 稼動中の現用センタのシステム機能を短期間で代替できるよう 常時待機させておくもの。- ミラーサイト方式:
ホットサイト方式のうち、特に、常時ネットワークを介して 遠隔地のデータを最新状態に更新し、 災害発生時にも即時切替可能とする方式。- コールドサイト方式:
遠隔地に場所と建物だけ確保しておき、災害時に初めて機材を搬入し、 バックアップセンタとして利用する。
| 目次に戻る |