最近ではインターネットカフェや公衆無線LANなど公共の場でインターネットが出来るようになりました。
そうしたっ環境の中で知らないうちにコンピュータから重要な情報が持ち出されたり、コンピュータが乗っ取られ、勝手に設定を変更さられるという脅威が身近なものになってきました。
普段何気なく使用する操作にも、危険な罠が仕掛けられている可能性があります。
Webページを閲覧する。
電子メールの添付ファイルをクリックする。
このような操作を通じてコンピュータウイルスに感染する被害も。
セキリュティと聞いて最初何を思いつきますか。
安全という言葉ではないでしょうか。
セキュリティとは安全という言葉とは異なります。
また、安全という言葉にはセーフティという言葉がありますが、これもセキュリィと異なります。
セーフティとは、自発的な行動に伴う脅威が存在している場合に使用されます。
これに対してセキュリィは、外部からの脅威・加害に対して危害が加わらないように状態を確保することを示します。
生命や財産を守るための対策がセキュリィと言えるでしょう。
具体的には地震や災害、強盗、大口顧客の倒産などのリスクへの対処もセキュリティ対策と言えます。
企業の三大要素は人、物、金と言われます。
さらに最近では情報の重要度も高まってきました。
情報には財務情報、顧客情報、技術情報などが含まれます。
その情報を運用するシステムやネットワークなどが情報資産にあたります。
情報セキュリィとは、企業の重要な財産である情報資産のセキュリィを確保し維持することです。
情報セキュリィは物理的セキュリィと論理的セキュリィの二つに分けることができます。
物理的セキュリィとは建物や設備などを対象とした、ハードウェアを中心としたセキュリィです。
防火設備、電源設備、入退室管理設備などが該当します。
無停電電源装置は不意に起こる停電、ブレーカーダウン、落雷などによる、電源障害に対する備えです。
入退室管理設備には建物やマシンルームなどへの不審人物の進入を防ぐための装置です。
また、盗難を防ぐためにコンピュータに器具を取り付ける場合もあります。
倫理的セキュリィは物理的セキュリィ以外の技術的なセキュリィと対策となります。
コンピュータによるパスワードを設定する。
データを暗号化する。
コンピュータウィルスの対策といった技術的なセキュリィ対策です。
情報セキュリィが確保しようとする目標事項は機密性、完全性、加用性と一般的に言われます。
どれもセキュリィに必要不可欠な要素です。
機密性とはアクセスを認められた人だけが機密に確実にアクセスできることを示します。
パスワードを設定する、データを暗号化するなどといったこを示します。
完全性とは情報及び処理方法が正確であることおよび完全であることを保護することです。
具体的にはデータのチェック機能や改ざん防止機能が該当します。
加用性とは認められた利用者だけが、必要な時に情報および関連する資産に確実にアクセスできることを示します。
具体的にはシステムの2重化やバックアップがこれに当たります。
これらの運用はシステムの特徴や優先順位に応じて適切に運用することが大切です。
情報セキュリィの効果を高めるためには様々なリスクの洗い出しが必要となります。
リスク分析について考えてみましょう。
リスクの対象となる範囲を考えます。
身近なところから徐々に広めて行くようにしましょう。
その次にその範囲にある情報資産を特定します。
リスク対象の中にどのような情報機器が含まれるのかということや、どのようなデータ含まれるかということです。
次に情報資産に対する脅威を検討します。
脅威とは情報資産に対して何らかの影響を与え、損失を発生させる直接的な要因の事です。
具体的にはコンピュータウイルスやコンピューターに対する不正侵入があげられます。
さらに対象となる情報資産に、対象範囲内に存在するシステムの脆弱性についても検討する必要があります。
脆弱性とは単なるソフトウエアの設計ミスだけではなく、開発者が予想していなかった利用形態や、設計段階での見落としなど、形式的には欠陥とはならない潜在的な問題点を含みます。
また脆弱性は脅威を可能にするシステムの弱点と言えます。
情報資産、脅威、脆弱性を総合的に判断して想定されるリスクを評価することです。