リスクコントロールの対策
問 題 《情報セキュリティアドミニストレータ午後対策》
リスクコントロールの対策として、人的(管理的)対策、技術的(論理的)対策、
物理的及び環境的対策があげられるが、それぞれ具体例を考えてみよう。
1つでも構いません。分かる範囲でご回答ください。
(1)人的(管理的)対策
(2)技術的(論理的)対策
(3)物理的及び環境的対策
(4)感想・調べたこと
スポンサードリンク
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)人的(管理的)対策
>●抑止
>・ホスティング
>・外部委託
>・契約書(秘密保持等)
>●予防
>・ペネトレーションテストの実施
>・定期保守の実施
>・名札の着用
>・入退出管理の実施
>●検知
>・入退出管理の実施
>●回復
>・バックアップ
>・復旧手順マニュアルの作成
>・ホスティング
>・外部委託
>・契約書(秘密保持等)
>●予防
>・ペネトレーションテストの実施
>・定期保守の実施
>・名札の着用
>・入退出管理の実施
>●検知
>・入退出管理の実施
>●回復
>・バックアップ
>・復旧手順マニュアルの作成
運用に関しては人が絡んできますので契約など紙管理が重要となってきます。
>パッチの適用など、セキュリティポリシの徹底。
>ノートPCなどの保管がきちんとなされているか定期的に確認する。
>ウィルススキャンのワクチンがきちんと更新されているか、
>ウィルスに犯されてないか定期的に確認する。
>ノートPCなどの保管がきちんとなされているか定期的に確認する。
>ウィルススキャンのワクチンがきちんと更新されているか、
>ウィルスに犯されてないか定期的に確認する。
>1.セキュリティの重要性をユーザへ認識させるため、セキュリティ教育を実施する。
>2.早期に障害を検知するため、監視体制を確立する。
>3.緊急時に対応するためのコンティンジェンシプランを確立する。
>4.古いメディアを廃棄するときに廃棄記録を残す。
>5.ソフトウェアやメディア類の適切な管理体制を整備する。
>2.早期に障害を検知するため、監視体制を確立する。
>3.緊急時に対応するためのコンティンジェンシプランを確立する。
>4.古いメディアを廃棄するときに廃棄記録を残す。
>5.ソフトウェアやメディア類の適切な管理体制を整備する。
上記のような観点でセキュリティポリシー(Plan)を策定し、Do→Check→Actと
運用して行くのは大切なことです。
運用して行くのは大切なことです。
(2)技術的(論理的)対策
>●抑止
>・不要サービスの停止(HPやメール...)
>●予防
>・ファイアウォール
>・DMZによる公開セグメントの社内LANからの分離
>・ウィルス対策ソフト
>・アクセス制御
>・ペネトレーションテストの実施
>・定期保守の実施
>・パッチの適用
>●検知
>・ログの監視
>・IDS
>・SNMPによるネットワーク管理
>●回復
>・バックアップソフト
>・不要サービスの停止(HPやメール...)
>●予防
>・ファイアウォール
>・DMZによる公開セグメントの社内LANからの分離
>・ウィルス対策ソフト
>・アクセス制御
>・ペネトレーションテストの実施
>・定期保守の実施
>・パッチの適用
>●検知
>・ログの監視
>・IDS
>・SNMPによるネットワーク管理
>●回復
>・バックアップソフト
技術的対策についても情報セキュリティポリシありきで話しが進んで行きます。
ファイアウォールを導入したから、安全であると思ってしまうのは誤った考え方です。
このような切り口(※)で午後の問題が作成される可能性が高いです。
(※)
そんなこんなで、A社はこのたびセキュリティポリシーを策定することになった。
情報セキュリティアドミニストレータであるB氏は社長にセキュリティポリシー
について説明したところ、先日、ファイアウォールを設置したはずじゃなかったのか?
それで大丈夫のはずではないのか?。云々。
といった具合で問題文が展開されていきます。
>1.重要データの漏洩を防ぐため、データを暗号化する。
>2.ウィルス感染を防ぐため、ウィルス対策ソフトを導入し、常に最新のパタンファイルに更新する。
>3.ハード/ソフトの障害に備え、定期バックアップを取得する。
>4.障害に備え、データベースを二重化する。
>5.インターネットからの不正アクセスを防止するためにファイアウォールを設置する。
>2.ウィルス感染を防ぐため、ウィルス対策ソフトを導入し、常に最新のパタンファイルに更新する。
>3.ハード/ソフトの障害に備え、定期バックアップを取得する。
>4.障害に備え、データベースを二重化する。
>5.インターネットからの不正アクセスを防止するためにファイアウォールを設置する。
データの暗号化も重要ですね。
ウィルス対策については、頻出問題ですね。
ウィルスに感染してしまった場合、どのような問題が考えられるか
以下の観点で考えておきましょう。
・セキュリティポリシーには問題がない場合
・セキュリティポリシーに問題がある場合
ウィルス対策については、頻出問題ですね。
ウィルスに感染してしまった場合、どのような問題が考えられるか
以下の観点で考えておきましょう。
・セキュリティポリシーには問題がない場合
・セキュリティポリシーに問題がある場合
>ウィルス対策をPCに施す、ファイヤーウォールを設置する。
>セキュリティ面で定評のある製品の選択や、ファイアウォール、IDSなどの製品の導入。
とても重要な対策です。
情報セキュリティアドミニストレータ試験においては、技術そのものについては
深い知識を問う出題はされないと思いますが、リスク管理の観点から防御するための技術
については知識として知っておく必要があります。
本メールマガジンでも後に出てきますが、ウィルス対策、ファイアウォール、IDS
について調べておきましょう。
情報セキュリティアドミニストレータ試験においては、技術そのものについては
深い知識を問う出題はされないと思いますが、リスク管理の観点から防御するための技術
については知識として知っておく必要があります。
本メールマガジンでも後に出てきますが、ウィルス対策、ファイアウォール、IDS
について調べておきましょう。
(3)物理的及び環境的対策
>●抑止
>・監視カメラ
>●予防
>・システムの二重化
>・代替機
>・予備電源装置(自家発電機,UPS,CVCF等)
>・サージ対策(避雷針,途中を光ケーブルにする等)
>・マシン室の設置場所(地震や洪水,台風等を考慮して...)
>●検知
>・監視カメラ
>・防犯システム(SECOM見たいなやつ,監視カメラも含まれますね...)
>・防火システム(スプリングクーラー等)
>●回復
>・システムの二重化
>・代替機
>・監視カメラ
>●予防
>・システムの二重化
>・代替機
>・予備電源装置(自家発電機,UPS,CVCF等)
>・サージ対策(避雷針,途中を光ケーブルにする等)
>・マシン室の設置場所(地震や洪水,台風等を考慮して...)
>●検知
>・監視カメラ
>・防犯システム(SECOM見たいなやつ,監視カメラも含まれますね...)
>・防火システム(スプリングクーラー等)
>●回復
>・システムの二重化
>・代替機
抑止、予防、検知、回復の観点からまとめるのはとてもいい考え方です。
抑止、予防は【事前】、検知、回復は【事後】のコントロールとなります。
抑止、予防は【事前】、検知、回復は【事後】のコントロールとなります。
>1機器設備の老朽化に備え、定期メンテナンスを実施する。
>2災害の発生に備えて遠隔地に別のセンタを設置する。
>3機械室への立ち入りには、IDカードを利用した仕組みにする。
>4重要機器設置場所には、監視カメラを設置する。
>5機器に鍵を付ける。
>2災害の発生に備えて遠隔地に別のセンタを設置する。
>3機械室への立ち入りには、IDカードを利用した仕組みにする。
>4重要機器設置場所には、監視カメラを設置する。
>5機器に鍵を付ける。
情報資産を守るために災害に備えて設置場所を考えなければならない企業等もありますね。
>ノートPCの保管をきちんとする。
>(デスクトップに置く場合は、ワイヤーロックなどを設置する。)
>(棚などに保存する場合は、きちんと施錠する。)
>(デスクトップに置く場合は、ワイヤーロックなどを設置する。)
>(棚などに保存する場合は、きちんと施錠する。)
みなさんの会社ではノートPCは正しく管理されていますか?
担当者任せになっていませんよね。
担当者任せになっていませんよね。
>部屋のIDカードなどによる入退室管理や、重要な物の金庫へ
>の保管や遠隔地へのバックアップ。
>の保管や遠隔地へのバックアップ。
どのような情報資産を金庫へ保管するか、管理者は誰か等、
規定を決めて運用することが重要です。
規定を決めて運用することが重要です。
(4)感想・調べたこと
>重なる項目もあるので振り分けが難しいです。
問題文に沿ってどのような対策が考えられるかまたは必要なのかを導きだせれば、
厳密に分けられていなくても大丈夫だと思います。
厳密に分けられていなくても大丈夫だと思います。
>今回は専門用語が多く、少し面倒。
>JIPDECのWEstrongサイトで、ISMSやプライバシマークについて見てみた。
>JIPDECのWEstrongサイトで、ISMSやプライバシマークについて見てみた。
>今の職場で最近、ノートPCの盗難があった為、
>その事後ですが対応策を書きました。
>その事後ですが対応策を書きました。
ノートPCの盗難、置き忘れなども試験問題になる可能性があります。
そのような事態が起こった場合に備えて気をつけることは何か?
起こってしまった場合どのような行動をとるべきか?
しっかり規定に従って対応されなければなりません。
そのような事態が起こった場合に備えて気をつけることは何か?
起こってしまった場合どのような行動をとるべきか?
しっかり規定に従って対応されなければなりません。
>あらゆるリスクに備え、物理的対策・技術的対策・運用管理的対策の
>それぞれを全てコントロール出来るのが望ましいかと思いますが、
>各企業では、費用面等でも限界があると思うので、重点事項を絞り
>実施して行くのが望ましいのではないかと思います。
>それぞれを全てコントロール出来るのが望ましいかと思いますが、
>各企業では、費用面等でも限界があると思うので、重点事項を絞り
>実施して行くのが望ましいのではないかと思います。
そのとおりですね。ISMS適合性評価制度においても全てのリスクを
管理しなければならないということにはなっていません。
残存リスクという言葉がありますように、企業として残っている(受容している)リスクを
把握しておくことが大切です。
管理しなければならないということにはなっていません。
残存リスクという言葉がありますように、企業として残っている(受容している)リスクを
把握しておくことが大切です。
sponsored link
このページ
のTOPへ注意事項
サイト内の内容は一部、もしくは全文の無断転載を禁止します。また、サイト内の内容を参考にする場合は各自の良識と責任のもとでお願いします。サイト内の内容を利用する上で生じたトラブルは、当方では一切の責任を負いません。
