Comments
Description
Transcript
ここがポイント!!「ネット社会を知る」
ここがポイント!!「ネット社会を知る」 連 載 (第2回) 滋賀大学情報処理センター助手 中 川 雅 央 第2回 情報セキュリティを知る な対策を実施していくことが効果的です。 ・最新のセキュリティ技術情報の収集 従来のインターネットは、自由で自律的な相互接続が特徴でし ⇒ハイテク犯罪は次々と新たな手口になっていくため、常に最 た。しかし、近年はクラッキング(不正アクセス行為)などによる機 新の情報を知る必要がある 密情報や個人情報の漏洩や略取などのいわゆるハイテク犯罪が ・定期的なセキュリティ監査とセキュリティ訓練 激増しているために、法律やルールに従わなければならないネッ ⇒セキュリティシステムが正しく機能しているかを確認し、ユー トワークになっています。法律面の整備や技術的な対策がどんど ザはそのシステムを使いこなせるようになっておかなければ ん進行していますが、それでも最終的には利用者が各自で身を ならない 守る意識を持たなければなりません。 ・セキュリティ製品やサービスの効果的な導入 今回は、日常的に利用されるようになってきた情報システムの ⇒最近では情報セキュリティに関する保険なども登場している セキュリティ対策方法について、できるだけ具体的な説明をおり ・組織的に取り組む まぜて、その「情報セキュリティ」を考えます。 ⇒特に企業などでは社員全員が共通の認識を持つことが重要 ■ 情報セキュリティの概念 ■ 「技術的セキュリティ」「人的セキュリティ」 情報セキュリティとは、コンピュータ室からネットワークまでを、さ 技術的セキュリティとは、自然災害や偶発事故から守るために まざまな人為的脅威からの保護をはじめ自然災害への防災をも 建物や設備などを整備する物理的対策をはじめ、産業スパイや 含めた広範囲に対して、正常な機能・状態を保つことにより信頼 盗聴・通信傍受から保護する機能を実現する対策などです。技 性を高めることを意味します。その概念は「機能的」と「運用的」に 術的セキュリティの例としてはファイアウォールが挙げられます。 大別されます。 これは外部からのアクセスを制限するだけでなく、知らず知らず 機能的概念は、図1に示すように、情報システムの構築や改良 のうちに自分のデータが外部へ流出することを防いでくれます。 時に「機密性」「完全性」「可用性」の3要素を確保・維持できるよ ただしファイアウォールでは、通信内容の安全までは保証できま うにシステムを考えることです。 運用的概念は、図2に示すように、自然災害や偶発 事故などに対して情報システムを安全に保護する「技 術的セキュリティ」から、ソフトウェアやデータに対する 意図的な不正行為に対して情報システムを保護する 「人的セキュリティ」までの段階的な概念です。 機密性 完全性 この二つの概念を実現できるようにすることが情報セ キュリティの基本となります。 ■ 「機密性」「完全性」「可用性」 可用性 情報セキュリティを考える際には、まず守るべき情報 資産は何なのかをはっきりと定義し、そして情報資産 を利用する前には、その情報資産へのアクセスに関す 機密性(Confidentiality) 情報資産が第三者に漏れないよう にすること 完全性(Integrity) 情報資産の内容が正確に完全に 維持されること 可用性(Availability) 情報資産を所定の方法で いつでも利用できるようにすること 図1 情報セキュリティの機能的概念 る基準(セキュリティポリシー)をあらかじめ策定してお かなければなりません。その上でセキュリティの3要素 を同時に実現できるような方法を考えていきます。 「機密性」・・・情報資産が、正規の方法で、許された 時間内に、正当な権限を有する者の みアクセスできること 人的セキュリティ 管理的セキュリティ システム的セキュリティ 「完全性」・・・情報資産が、所定の基準に定められた 方法以外では一切変更できないこと 技術的セキュリティ セキュリティ啓蒙・教育・訓練 企業倫理・人事管理・労務管理 組織管理・物財管理 業務管理・運用管理 パスワード・ファイアウォール ウイルス駆除・アクセス制御 建物や設備などの物理的対応 (地震・防火・防水・侵入対策) 「可用性」・・・情報資産へ常にアクセスできる環境を 保持できること これらをさらに強固なものにするためには、次のよう 図2 情報セキュリティの運用的概念 せんし、内部からのセキュリティ攻撃に対しては機能を有効に発 【ネットワークの監視】 揮できません。そこで人的セキュリティの対策も重要になってきま ●ファイアウォール す。 人的セキュリティは、人や組織に関するセキュリティ概念である ために、システム管理者や技術者だけで実現できるものではあり 所定の基準を満たすネットワークアクセス以外は通信できない ようにして、その内部のネットワークを保護するシステム。 ●プロキシサーバ ません。図2にあるシステム的セキュリティの段階には、利用する 内部ネットワークのコンピュータに代わって外部ネットワークと 情報システムに認証システムや暗号化処理およびファイアウォー の通信を行う代理サーバ。 ルを導入することなどが該当しますが、これらを導入した場合に ●フィルタリング は利便性が悪くなるために、ユーザに対してはその導入する意 外部と内部との間で通信される内容について、セキュリティポリ 義を説明し、理解してもらわなければなりません。 シーに反する情報の通信を制限したりログを記録すること。 図2の管理的セキュリティの段階には、組織・物財の管理や業 有害サイトのホームページへのアクセスを制限したり、機密情 務・運用の管理が該当し、セキュリティポリシーの策定とその文書 報が電子メールなどの手段で漏洩しないようチェックするような 作成やセキュリティ担当者の選出、セキュリティポリシーの運用お システムがある。 よび定期的なセキュリティの監査や評価などをセキュリティ関連 業務として行うことになります。 最も上の段階にある人的セキュリティの段階は、各ユーザに対 する啓蒙・教育・訓練を意味します。パスワードやウイルス対策の 重要性について啓蒙活動を行い、企業倫理の教育やセキュリテ ィに関する訓練によって、ユーザである"人"のセキュリティ性能を 高めるのです。これらは人事管理や労務管理の領域にも含まれ るため、カウンセリングなどの心理的・精神的なフォローがあれば、 さらに効果的でしょう。 これまでの内容でお分かりかと思いますが、セキュリティ対策は 「人間的」な面が大きいのです。技術的な面よりも、各ユーザ自 身が自分で考えて的確な行動をするための環境を準備すること が大切なのです。 ■ 情報セキュリティ対策の実行 情報セキュリティの概念について説明してきましたが、いきなり 全てを実施することは難しいでしょう。したがって、できることから 実行していくことも一つの方法です。では実際にできる対策方法 とは具体的にどんなことでしょうか。最後に主なキーワードとポイ ントを列挙します。 【データの保護】 ●データのバックアップ パソコンのハードディスクに保存されているデータをMOなど 【情報の信憑性】 ●パスワードの利用 情報を扱う際には、必ずパスワードによってユーザがその本人 であることを認証しなければ、情報の信憑性が失われる。 ●アクセス権の設定 特定のユーザのみが見ることができたり、書き換えすることがで きるように、情報資源へのアクセス権を設定するだけでも情報 セキュリティは向上する。 ●暗号化 ネットワークを流れるデータが、途中で傍受されたり、改ざんさ れたりしないよう、暗号化によって、その情報の信憑性を保証 する。現在は公開鍵暗号方式(PGP)などが主流。 【企業向けのサービス・保険】 ●コンピュータ・セキュリティ・サービス 建物や設備の導入サービスや、セキュリティ機器やそのシステ ムの導入サービス。あるいは擬似攻撃によるセキュリティチェッ クサービスなどを提供する企業がある。 ●セキュリティ・コンサルタント セキュリティ対策についての分析や支援、コンサルタントなど。 またはシステム担当者などが受講するセキュリティ対策スクー ルなどもある。 ●ネットワークセキュリティ保険 別の記録媒体(メディア)にも保存しておけば、そのパソコンが 不正アクセスやウイルスの被害を補償する保険。日本でも1998 動かなくなっても、データ自体の消失を防ぐことができます。 年の規制緩和によって損害保険会社がこのような保険商品の ●UPS(無停電電源装置) 販売を開始した。 落雷や突然の停電などによって、パソコンの電源が切れて作 成途中のデータを消失したり、パソコン本体の故障の原因にな ることがあるので、UPSがあれば、それを防止できます。 ●ウイルス駆除ソフト ウイルスに感染すると、そのパソコン内のデータを消失したり、 ネットワーク経由で他人のパソコンにも被害を及ぼす危険性が あるので、必ずウイルス駆除ソフトを利用しましょう。 参考文献 力武:プロフェッショナルインターネット,オーム社,(1998) 田中:情報セキュリティ・マネジメント入門,日本経済新聞社, (1999) 山口,鈴木:bit別冊情報セキュリティ,共立出版,(2000) セキュリティ研究会:まるごと図解最新インターネットセキュリティがわかる, 技術評論社,(2000)