Comments
Description
Transcript
情報セキュリティの基礎
はじめに 統計と情報処理 第05回 情報セキュリティ 大久保誠也 静岡県立大学経営情報学部 はじめに 技術で守れるもの・守れないもの 人的なセキュリティとは セキュリティ的な脅威の代表例 セキュリティポリシー、セキュリティ対策基準 2/48 1 通信関係技術で守れるもの(1) 情報通信技術で、通信関係は守れる。 守れる部分 技術で守れるもの 守れないもの Bob 盗聴防止 改ざん防止 なりすまし 防止 Alice 3/48 4/48 通信関係技術で守れるもの(2) セキュリティ的な事故のニュース 情報通信技術では、「人に関するセキュリティ」や「計 算機管理そのもの」は、フォローしていない。 守れる部分 Googleで「情報流出 原因」で検索してみよう。 ニュースになる多くの事件は、「人」が「問題になる行 動」を起こした結果、生じてしまうことも多い。 Bob 盗聴防止 改ざん防止 範疇外 範疇外 なりすまし 防止 Alice 5/48 6/48 人の知識が不十分だった例 セキュリティの重要性 twitterやmixiで不用意なことを書き込んでしまう (多くの人が見ているという認識が不十分) (発信する情報の内容確認が不十分) セキュリティパッチを当て忘れてしまう (情報機器の運用方法が不適切) 違う宛先にメールを送ってしまう (操作の確認が不十分) どんなに技術がすぐれていても、それを扱っているの は、あくまでも「人」。 「人」は、最大のセキュリティホールになりうる。 セキュリティパッチの当て忘れ 情報のずさんな管理 セキュリティを維持するためには、 技術だけではなく、運用等も大事 7/48 脅威とは 例:パソコンの故障 情報セキュリティを脅かすものを「脅威」と言 います。 この世の中には、多くの「脅威」が存在してい ます。 「どうやって備えるのか」を決めるには、「何 を脅威と認識するか」が重要です。 パソコンから異音が! あれ? パソコンがない データのバックアップや、計算機の冗長化等で 被害を防止できます。 10/48 例:物品の廃棄 しめしめ、 上手く盗めたぞ ゴミから情報 入手! もういらないや パソコンを外に持ち出て、物理的に盗まれることも 例:車上荒らし パソコンは持ち出し禁止にする会社も。 重要な情報は持ち出さない。 持ち出したら目を離さない。 火山が噴火して、 計算機が燃えた! 故障や災害は、どうしても発生してしまいます 9/48 例:パソコンの盗難 8/48 情報はきちんと削除する 物品を捨てるときは、その中に「重要な情報」が含まれていない かに注意する。 ハードディスク等は、OSの機能で削除していても、データを復元 できることも。 11/48 12/48 情報セキュリティポリシー 組織におけるセキュリティ対策を実施するため、 「基本的なセキュリティ方針」を明確にしたもの。 関連文章は次の3つ: 情報セキュリティ基本方針 セキュリティ ポリシー 情報セキュリティ対策基準 情報を守るための方策 情報セキュリティ実施手順 13/48 14/48 個々の文章 情報セキュリティの評価 情報セキュリティ基本方針: 情報セキュリティに対する、基本的な立場(目的) や、用語の定義、文章構成等を示す。 情報セキュリティ対策基準: 基本方針の目的を達成するために、「何を守るの か」「どのような組織体制で臨むのか」「どのぐら い守るのか」の基準を示す。 情報セキュリティ実施手順: 具体的にどのように行動するかを示す。 どのぐらいの強さで守るのか どのぐらいコストとリスクがあるのか 漏れた場合の影響は? 日常的に運用できる体制か? 特に守らなければならないものはどれか? を評価する必要があります。 情報資産と情報の分類 16/48 県大の情報セキュリティポリシー 情報資産: 守るべきターゲット 「情報そのもの」や「情報を含んだ物体」も含まれてい る。つまり、「紙」も情報資産になりうる。 書類?個人情報? 紙?ハードディスク? 部屋に施錠すれば大丈夫? 金庫に入れる? 15/48 実施する際には、 何を守るべきなのか 情報セキュリティ基本方針: 策定済み 情報セキュリティ対策基準: 策定済み 情報セキュリティ実施手順: 対策基準策定後に作成する(?) 情報資産は、重要性に応じてランク付けされる。 たとえば、「公開情報」「社外秘情報」「機密情報」等。 17/48 18/48 ファイルのダウンロード(1) ファイルのダウンロード(2) 県大のTOPページにアクセスし、左側のメ ニューにある[法人情報]をクリックする。 19/48 対策基準の 取り扱いにおける注意点 情報セキュリティ基本方針 第9条: (情報セキュリティ対策基準の策定) 情報セキュリティ対策を実施するために、具 体的な遵守事項及び判断基準等を定める情 報セキュリティ対策基準を策定する。なお、 情報セキュリティ対策基準は、公にすること により法人の業務運営に重大な支障を及ぼ すおそれがあることから非公開とする。 第1条 :文章の位置づけ 第2条 :用語の定義 第3条~第4条 :適用される人 第5条 :何を脅威と見なすか 第6条~第8条 :策定、評価、見直しについて 第9条~第11条 :他の文章ならびに位置づけ 学外に内容を漏らさないこと 21/48 情報セキュリティ実施手順 22/48 おわりに 対策基準を満たすために、具体的にどのように 行動するかが記載されている。 記載方法は様々。 開いたページにある「情報セキュリティ基本方 針」をクリック 20/48 情報セキュリティ基本方針 上から9番目の項目[法人情報]の一番最後に ある[情報セキュリティ基本方針]をクリック。 適用される部署毎に文章が違う場合もある。 対策基準のうち、適用されるものを抜き出し、 それぞれの基準を満たすための具体的手順を記す。 23/48 情報セキュリティは技術とルールで保たれます。 技術は日々進歩しています。しかし、それを運用する のは人です。 人は最大のセキュリティホールです。 社会では、取扱注意の情報を扱うことが多々あります。 情報を取り扱う際にはどうしたらよいか、身につけて いってください。 24/48