情報セキュリティ、情報セキュリティって・・・。うるさいんじゃ!!!!だまれや!!と逆切れ思想になります。どこでもここでも情報セキュリティです。そりゃそうだ、その勉強してるんだから。
じゃ、頭を冷静に戻しながら、改めまして・・・。皆の大切な情報を守ることが情報セキュリティです。じゃあ、守るための具体的な対策はどうしたらよいのか。
情報セキュリティ対策について整理しています。
情報セキュリティ対策に必要な3つの対策
情報セキュリティ対策には3つの対策が具体的に挙げられます。
- 人に対する対策(情報を扱う「人」への教育・啓発・ルール作り)
- 技術的な対策(セキュリティ対策に必要なソフトや技術)
- 物理的な対策(部屋や門、建物などに深く関係します)
3つの対策について、1つずつ確認しながら、試験で出るところを押さえていきます。 とりあえずここでは「人への対策」を書いていきます。
情報セキュリティ対策・人への対策
悲しいことに、不正や 情報漏えい等、セキュリティリスクを高めているのは、ほぼ人です。金に目がくらむのか、魔が差すのかしりませんが、、、とにかくこういった不正を辞めさせるためには、ルール作りが必要です。 どういう具体的なルールや対策が情報セキュリティマネジメント試験に出るのか抑えていきます。
資産管理 ・情報に対してアクセス権を設定する
- 資産管理ツールを使って、パソコンに入っているソフトなどを管理する
USBメモリ、CD-Rなどの持ち出し・確認 ・USBやCD-Rを使うときのルール作り
- USBや、ノートPCなど外部に持ち出すことのある情報機器にはパスワードを設定する。
- USBや、ノートPCなどを外部に持ち出す際のルール作り
- 個人のスマホや、ノートPCなどを社内で使うことを禁止する
禁止されている情報機器を使って社内の情報を取り扱うことを「シャドーIT」といいます。
誓約書などを書かせる
組織に雇われている期間が終了するときに、不正が起きやすいというデータが上がっています。そのため雇用契約が終了するときには、業務で知りえた情報に対して秘密保持義務を課す誓約書を書かせることなどが有効
教育・啓発
人にはやはり啓発と教育 情報を扱う人は「人」です。その「人」に対して情報セキュリティ教育・啓発を行っていくのも大事です。具体的な教育・啓発の方法が試験に出ますよー!
- 社内の「情報セキュリティポリシ」について知ってもらう (研修やセミナーをする)
- 情報セキュリティは、PCなど機器を介してだけでなく、いろんなところから漏れ出すことを知ってもらう 。(のぞき見、ゴミ箱のメモ紙からも情報が漏れだすことがあるよ、っと。)
- わざと攻撃メールを送信するなどの攻撃、レッドチーム訓練を定期的に行う
パスワードの使い方
パスワードはわかりにくいものにする。数字、大文字、小文字、記号を組み合わせる、など。
- 情報を取り扱う人へのルール
- 不正が起きやすくなるので、単独作業はさせない
- Need-to-knowの原則。アクセス権は必要最小限にする。
- アカウントの共有はしない。1人1アカウントにする。
- 職位の高い人には、特にアクセス権を必要最小限にする。(不正が起こりやすいため)
- システムの変更を行うことができる特権アカウント(システム管理者)にもNeed-to-knowの原則を。
- アクセス権が不要になったときは、すぐ削除
ログ管理・監視
- ログを監視していることをみんなに知らせて、抑止力を持たせる
情報セキュリティ対策について試験に出る用語
シャドーIT
禁止されている情報機器を使って社内の情報を取り扱うこと
ソーシャルエンジニアリング
PC操作している人の画面を盗み見したり、ゴミ箱のメモ用紙をあさってパスワードを盗んだりすること。PCなどの機器を介さないことが特徴です。
Need-to-knowの原則
情報は知る必要がある者に対してのみ与え、 知る必要のない者には与えないという原則
特権アカウント
システムの変更ができる(システム管理者)権限を持つアカウントのこと。
レッドチーム演習
もともと軍隊用語です。軍隊の攻撃、防御演習でて、攻撃を仕掛ける側のことを「レッドチーム」と呼んでいたからだそう。セキュリティ対策チームがリアルな攻撃を企業にしかけて 訓練することです。
まとめ・対策は3つある、と分けて理解すると頭に入る
情報セキュリティ対策するには、1、人への対策、2、技術的な対策、3場所での対策、と3つに分けて考えるとわかりやすいです。
その中で、今回は「人への対策」について書きました。
それぞれどんな対策が取られる理解できれば、情報セキュリティマネジメント試験合格に近づきます。楽勝ですよ、楽勝。
もちろん「情報セキュリティマネジメント試験」に出るところを中心にね!