...

情報セキュリティの基礎

by user

on
Category: Documents
9

views

Report

Comments

Transcript

情報セキュリティの基礎
はじめに
統計と情報処理 第05回
情報セキュリティ





大久保誠也
静岡県立大学経営情報学部
はじめに
技術で守れるもの・守れないもの
人的なセキュリティとは
セキュリティ的な脅威の代表例
セキュリティポリシー、セキュリティ対策基準
2/48
1
通信関係技術で守れるもの(1)

情報通信技術で、通信関係は守れる。
守れる部分
技術で守れるもの
守れないもの
Bob
盗聴防止
改ざん防止
なりすまし
防止
Alice
3/48
4/48
通信関係技術で守れるもの(2)

セキュリティ的な事故のニュース
情報通信技術では、「人に関するセキュリティ」や「計
算機管理そのもの」は、フォローしていない。
守れる部分

Googleで「情報流出 原因」で検索してみよう。

ニュースになる多くの事件は、「人」が「問題になる行
動」を起こした結果、生じてしまうことも多い。
Bob
盗聴防止
改ざん防止
範疇外
範疇外
なりすまし
防止
Alice
5/48
6/48
人の知識が不十分だった例



セキュリティの重要性
twitterやmixiで不用意なことを書き込んでしまう
(多くの人が見ているという認識が不十分)
(発信する情報の内容確認が不十分)
セキュリティパッチを当て忘れてしまう
(情報機器の運用方法が不適切)
違う宛先にメールを送ってしまう
(操作の確認が不十分)


どんなに技術がすぐれていても、それを扱っているの
は、あくまでも「人」。
「人」は、最大のセキュリティホールになりうる。
 セキュリティパッチの当て忘れ
 情報のずさんな管理
セキュリティを維持するためには、
技術だけではなく、運用等も大事
7/48
脅威とは



例:パソコンの故障
情報セキュリティを脅かすものを「脅威」と言
います。
この世の中には、多くの「脅威」が存在してい
ます。
「どうやって備えるのか」を決めるには、「何
を脅威と認識するか」が重要です。
パソコンから異音が!
あれ? パソコンがない
データのバックアップや、計算機の冗長化等で
被害を防止できます。
10/48
例:物品の廃棄
しめしめ、
上手く盗めたぞ
ゴミから情報
入手!
もういらないや
 パソコンを外に持ち出て、物理的に盗まれることも
例:車上荒らし
 パソコンは持ち出し禁止にする会社も。
重要な情報は持ち出さない。
持ち出したら目を離さない。
火山が噴火して、
計算機が燃えた!
故障や災害は、どうしても発生してしまいます
9/48
例:パソコンの盗難
8/48
情報はきちんと削除する
 物品を捨てるときは、その中に「重要な情報」が含まれていない
かに注意する。
 ハードディスク等は、OSの機能で削除していても、データを復元
できることも。
11/48
12/48
情報セキュリティポリシー
組織におけるセキュリティ対策を実施するため、
「基本的なセキュリティ方針」を明確にしたもの。
関連文章は次の3つ:
 情報セキュリティ基本方針
セキュリティ
ポリシー
 情報セキュリティ対策基準

情報を守るための方策

情報セキュリティ実施手順

13/48
14/48
個々の文章



情報セキュリティの評価
情報セキュリティ基本方針:
 情報セキュリティに対する、基本的な立場(目的)
や、用語の定義、文章構成等を示す。
情報セキュリティ対策基準:
 基本方針の目的を達成するために、「何を守るの
か」「どのような組織体制で臨むのか」「どのぐら
い守るのか」の基準を示す。
情報セキュリティ実施手順:
 具体的にどのように行動するかを示す。


どのぐらいの強さで守るのか

どのぐらいコストとリスクがあるのか
漏れた場合の影響は? 日常的に運用できる体制か?
特に守らなければならないものはどれか?
を評価する必要があります。
情報資産と情報の分類
16/48
県大の情報セキュリティポリシー
情報資産:
 守るべきターゲット
 「情報そのもの」や「情報を含んだ物体」も含まれてい
る。つまり、「紙」も情報資産になりうる。




書類?個人情報?
紙?ハードディスク?
部屋に施錠すれば大丈夫? 金庫に入れる?
15/48

実施する際には、
 何を守るべきなのか
情報セキュリティ基本方針:
策定済み
情報セキュリティ対策基準:
策定済み
情報セキュリティ実施手順:
対策基準策定後に作成する(?)
情報資産は、重要性に応じてランク付けされる。
たとえば、「公開情報」「社外秘情報」「機密情報」等。
17/48
18/48
ファイルのダウンロード(1)
ファイルのダウンロード(2)
県大のTOPページにアクセスし、左側のメ
ニューにある[法人情報]をクリックする。



19/48





対策基準の
取り扱いにおける注意点
情報セキュリティ基本方針 第9条:
 (情報セキュリティ対策基準の策定)
情報セキュリティ対策を実施するために、具
体的な遵守事項及び判断基準等を定める情
報セキュリティ対策基準を策定する。なお、
情報セキュリティ対策基準は、公にすること
により法人の業務運営に重大な支障を及ぼ
すおそれがあることから非公開とする。

第1条
:文章の位置づけ
第2条
:用語の定義
第3条~第4条 :適用される人
第5条
:何を脅威と見なすか
第6条~第8条 :策定、評価、見直しについて
第9条~第11条 :他の文章ならびに位置づけ
学外に内容を漏らさないこと
21/48
情報セキュリティ実施手順




22/48
おわりに
対策基準を満たすために、具体的にどのように
行動するかが記載されている。
記載方法は様々。

開いたページにある「情報セキュリティ基本方
針」をクリック
20/48
情報セキュリティ基本方針

上から9番目の項目[法人情報]の一番最後に
ある[情報セキュリティ基本方針]をクリック。
適用される部署毎に文章が違う場合もある。
対策基準のうち、適用されるものを抜き出し、
それぞれの基準を満たすための具体的手順を記す。
23/48





情報セキュリティは技術とルールで保たれます。
技術は日々進歩しています。しかし、それを運用する
のは人です。
人は最大のセキュリティホールです。
社会では、取扱注意の情報を扱うことが多々あります。
情報を取り扱う際にはどうしたらよいか、身につけて
いってください。
24/48
Fly UP