ファイアーウォール【 firewall 】

組織内のコンピュータネットワークへの外部からの侵入を防ぐシステム。

ファイアウォールの一般的な実装として、外部から発生するトラフィックは拒否しますが、

内部から外部へ発生したトラフィックの戻りのトラフィックは許可します。

そのため、

パケットが悪意あるトラフィックかどうかは確認できないので、

DoS攻撃やワームなどのトラフィックを効果的に防ぐことは難しい点があります。

（※例：不正なCGIのGET要求などは見破れません）

IDS【 Intrusion Detection System 】

侵入検知システム。

ネットワーク上を流れるパケットを分析し、

パターン照合により不正アクセスと思われるパケットを検出して、管理者に通知するシステムです。

シグネチャと呼ばれる攻撃パターンのデータベースを使用します。

検知システムなので、リアルタイムに攻撃を阻止することができません。

IPS 【Intrusion Prevention System】

侵入防止システム。

不正アクセスなどの悪意あるトラフィックや、

シグネチャを参照して不正アクセスに該当するパケットを検出すると、

通知するだけでなく、トラフィックを破棄したり、セッションを切断して

リアルタイムで防御します。（※DOS攻撃には有効）

通常いわれるファイアウォールは、ネットワークレベルを防御し、

IDS/IPSはOS・Webサーバレベルを防御します。

しかし、SQLインジェクションやクロスサイトスクリプティングといった

Webアプリケーションの脆弱性を突いた攻撃には、対処できません。

Webアプリケーションファイアウォール【Web Application Firewall】　/　WAF（ワフ）

「WAF」は、Webアプリケーションへの攻撃を防ぐために開発された防御ツールです。

これまでは安全であったWebアプリケーションであっても、

将来にわたって絶対安全とは決して言えない状況です。

従来、Webサイト開設時にセキュアコーティングの対策が行われてきましたが、

間に合わないのが現実です。

現存のソースコード改修対策もありますが、

難易度が高く、時間もかかり、

継続的な改修作業も必要となることから、膨大なコストを費やします。

そのため、Webアプリケーション層への攻撃対策として、「WAF」が登場しました。

Webサーバ.とインターネットなどの外部ネットワークとの間に設置され、

サーバへのアクセスを監視し、攻撃とみなされるアクセスパターンを検知するとブロックします。

つまり、「Webアプリが受け取る前に要求をチェックして、安全な要求だけをWebアプリに渡す」

という働きをします。

BYOD (ビーワイオーディー)/ Bring Your Own Device

企業などでの　私的デバイスの活用、私有IT機器の業務利用。

従業員が、私物の情報端末などを持ち込んで業務で利用することを指します。

例えば、私用で普段から使っているタブレット端末などから
企業の情報システムにアクセスし、必要な情報を閲覧したり入力したりすることなどです。

〇BYODを導入するメリット
・企業側は端末購入費や通信費の一部などのコストを削減することができる。
・社員側は普段から使い慣れた端末で仕事ができ、同種の端末を「2台持ち」する必要がなくなる
・自分の財産であるため、会社提供の機器より丁寧に取り扱う傾向がある

〇BYODを導入するデメリット

主に企業側が端末の設定や導入するソフトウェアの種類などを完全にコントロールするのは難しいため発生する問題が多いです。

・情報漏洩・ウイルス感染などへの対策
・紛失・盗難時の対応
・業務中の利用制限（アクセスするサイトや機能）
・プライバシーの問題（通信履歴・保存データなどを企業が管理できない）

リスク評価の作業 で明確になったリスクに対しては、

どのような対処を、いつまでに行うかを明確にします。

対処の方法には、大きく分けて4つあります。

「リスクの低減」「リスクの保有」「リスクの回避」「リスクの移転」です。

(1) リスクの低減
脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げること。

ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく、

サーバ室に不正侵入できないようにバイオメトリック認証技術を利用した入退室管理を行う、

従業員に対する情報セキュリティ教育を実施するなど。

(2) リスクの保有
そのリスクのもつ影響力が小さいため、

もしくは

「許容できるリスクのレベル」を超えるものの、

現状において実施すべきセキュリティ対策が見当たらない場合、

コスト（人、物、金等）に見合ったリスク対応の効果が得られない場合等にも、

特にリスクを低減するためのセキュリティ対策を行わず、

許容範囲内として受容します。

(3) リスクの回避
脅威発生の要因を停止あるいは全く別の方法に変更することにより、

リスクが発生する可能性を取り去ることです。

「インターネットからの不正侵入」という脅威に対し、外部との接続を断ち、Web上での公開を停止してしまう、

水害などの災害被害が頻繁にあるので、そのリスクの低い安全な場所と思われる場所に移転する、

など。

リスクを保有することによって得られる利益に対して、保有することによるリスクの方が極端に大きな場合に有効です。

(4) リスクの移転
リスクを他社などに移すことです。

リスクが顕在化したときに備えリスク保険などで損失を充当したり、

社内の情報システムの運用を他社に委託し、

契約などにより不正侵入やウイルス感染の被害に対して損害賠償などの形で移転するなど。

しかし、リスクがすべて移転できるとは限りません。

多くの場合、金銭的なリスクなど、リスクの一部のみが移転できます。

参考引用：IPA「情報セキュリティマネジメントとPDCAサイクル」