情報資産の可用性
問 題 《情報セキュリティアドミニストレータ午後対策》
2003-05-09 ■ジャパンネット銀行トラブル 22時間ぶりに復旧
http://www.mainichi.co.jp/digital/network/archive/200305/09/5.html
を読んで下記問いに答えよ。
(1)脆弱性
(2)被害[機密性・完全性・可用性]
(3)安全対策例
(4)感想・調べたこと
解 説 《情報セキュリティアドミニストレータ午後対策》
■(1)脆弱性
>「本来バックアップする待機サーバーへ移行するためのソフトに、
>バグのようなものが発生」ということは、あってはならないこと。
>まさにIT/インターネットの脆弱性を露呈してしまう結果となってしまったと思います。
ですので、ここでは「ソフトウェアのバグ」が挙げられます。
■(2)被害[機密性・完全性・可用性]
>(1)「ネットに接続しにくくなるトラブル」が続き、結局「すべての取引ができない状態」
> になってしまい重大な「可用性」面、「完全性」面で被害。
>(2)対応としても「10万円まで対応する緊急対応」など、「完全性」面での被害。
>(3)今後の調査によって明らかになると思われるが、「機密性」面での重大な被害の疑い
> も多いにあると思います。
ありがとうございます。
やはり、この問題による被害は相当なものがありましたね。
社会的に問題となる情報セキュリティに関する事件では、情報資産に対しての
「機密性」、「完全性」、「可用性」全てが損なわれている可能性があります。
ここでは、情報セキュリティアドミニストレータの試験対策という見方(※)で考えると
「可用性」に対する被害について言及すればよいでしょう。
「可用性」とは、許可された利用者が、必要なときに、情報及び関連する資産に
アクセスできることを意味しますので、22時間もの間、サービスを享受できるべきユーザが、
アクセスできない状況となってしまったことは、可用性が損なわれた事件ということができます。
(※)情報セキュリティアドミニストレータ試験対策の見方
あまり望ましいことではありませんが、試験という性質のため、正否にかかわらず、
出題者が期待している答えというものが存在します。
試験においては、出題者が何を期待しているのかを読み取れるぐらい
落ち着いて判断し、問題に向かいましょう。
もちろん、実務では答えは一つとは限りませんから、あらゆる脅威、脆弱性、
想定されるリスクについて、分析しなければなりません。
■(3)安全対策例
>全ての段階での入念な事前のテスト、何重にも準備されたバックアップ体制、
>迅速な原因究明とその公開が必須と思われます。
まさしくその通りですね。
情報セキュリティにおけるリスクが顕在化した事象のことをインシデントいいます。
インシデントの発生に際して、それを検知し、関係組織と連絡を取り合って
再発防止をしなければなりません。
インシデントへの対応に関しては以下を参照してください。
http://www.jpcert.or.jp/ed/2002/ed020002.txt
■(4)感想・調べたこと
>このようなトラブルが、脆弱性に付け入るハッカーやクラッカー、
>ウイルスの出現を助長しないことを願うばかりです。
>「人の振り見て我が振り直せ」としていきたいと思います。
脅威、脆弱性を0(ゼロ)にすることは不可能ですから、リスクアセスメントを実施し、
いかにしてリスクをコントロールしていくかが、組織・企業の課題となります。
そのためには、日々起きている事柄についてアンテナを立てていくことが大切ですね。
sponsored link
このページ
のTOPへ
