パスワードの運用、ウイルス対策
問 題 《情報セキュリティアドミニストレータ午後対策》
S社の情報セキュリティ対策基準の内容(抜粋)は、下記のとおりである。
本対策基準は、当社の情報資産を適切に保護するために必要な最低限度の取決め
及び責任の所在の明確化によって、情報資産の損失を未然に防ぐことを目的としている。
本対策基準が有効に機能するように、社員は、これを遵守しなければならない。
1.適用範囲
(1)本対策基準は、経営者及び派遣社員を含むすべての社員に適用
される。
(2)本対策基準は、ハードウェア、ソフトウェア、コンピュータネ
ットワーク、各種データファイルなどの情報システム並びにシス
テム開発、運用及び保守のための各種資料や顧客情報を含むすべ
ての情報資産に適用される。
2.対策基準の遵守
(1)社員は、当社が定期的に開催するセキュリティ教育に必ず参加しなければならない。
(2)当社は、本対策基準に反する行為を行った者に対して情報システムの利用を
制限するとともに、その内容によっては、就業規則に基づき懲戒を課すことがある。
3.パスワードの運用
(省略)
4.コンピュータウイルス対策
(省略)
5.システムのアクセス制御
(1)機密情報については、アクセス可能なユーザを制限する。
(2)営業上重要な情報へのアクセスは、参照に限りすべてのユーザに認める。
6.インターネットの利用
(1)業務とは関係のないサイトへのアクセスを禁止する。
ユーザは、禁止されているサイトへのアクセスが業務上必要な場合、
システム管理者の許可を得なければならない。
(2)A社のインターネットフィルタリングソフトを導入し、業務とは関係のないサイト
へのアクセスを制御する。
(以下省略)
【設問】
情報セキュリティ対策基準の「3.パスワードの運用」と「4.コンピュータウイルス対策」を
作成しなさい。
(1) 3.パスワードの運用
(2) 4.コンピュータウイルス対策
(3)感想・調べたこと
情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。
解 説 《情報セキュリティアドミニストレータ午後対策》
(1) 3.パスワードの運用
>(2)個人情報(氏名,生年月日等)から推測できるものは使用しない。
>(3)2週間毎にパスワードを変更する。
>(4)過去に設定したものは使用しない。
>(5)パスワードのメモは残さない。
>※(1),(3),(4)あたりはソフト(自動)で出来そうですが...
>・推測されるような安易なパスワード設定はしないようにする。
>・一定文字数以上にする。
>・一度設定したパスワードは一定期間の利用不可とする。
ユーザ側の視点で整理しておいたほうがいいでしょう。
(2) 4.コンピュータウイルス対策
>(2)パターンファイルは常に最新のものにする。
>(3)添付ファイルはウイルスチェックを行ってから開く。
>(4)メールの送信はウイルスチェックを行ってから送信する。
>(5)インターネット(外部)接続はプロキシ経由で行なう。
>※(2),(3),(4)あたりはソフト(自動)で出来そうですが...
> (5)は管理者レベルでプロキシサーバのウイルス対策や
> 他の方法で外部接続させないようにするといった対策が必要になる。
>・常に最新のパタンファイルに更新しておく。
>・使用ソフトウェア(OS,ブラウザ)の最新のパッチを適用する。
>・不用意にメールに添付されているファイルを開かない。
>・外部入手のファイルは、ウィルス検査後に利用する。
>・データのバックアップを取得しておく。
コンピュータウイルス対策基準は必ず読んでおきましょう。
URL http://www.ipa.go.jp/security/antivirus/kijun952.html
特に、システムユーザ基準とシステム管理者基準は重要です。
システムユーザ基準には
a.ソフトウェア管理
b.運用管理
c.事後対応
d.監査
システム管理者基準には
a.コンピュータ管理
b.ネットワーク管理
c.運用管理
d.事後対応
e.教育・啓蒙
f.監査
があります。
これらの観点はコンピュータウイルスに関する問題が出題された時に、
すぐに取り出せる引出しにしまっておいて下さい。
ポイントとしては、
・コンピュータウイルス予防の観点(システム管理者側、ユーザ側)
・コンピュータウイルスに感染してしまった時の観点(システム管理者側、ユーザ側)
です。
(3)感想・調べたこと
>都度パッチの適用をするようにアナウンスされますが、何千台ものPCを
>保有している企業では全ての端末に対して直ぐに実施するのは難しいかと
>思います。
>また、各ユーザには管理者権限が与えられていないケースも多々あり、
>そのような環境では、管理者IDの貸し出し等を行う必要性があります。
>多数のユーザへ管理者IDを貸し出すことは、脅威が発生することになり、
>セキュリティを意識して管理して行くには、いろいろな知識・スキルが
>必要になってくるのだなと思う今日この頃です。
日頃からセキュリティに関してアンテナを立てていらっしゃるのが伺えます。
情報セキュリティアドミニストレータとしては、常に変化するセキュリティを取り巻く環境に、
対応できるようにしておかなければなりません。
次に何故?(Why?)と思うようにしてみましょう。
上記の感想でしたら、
・OSやブラウザにセキュリティホールが発見されると、何故ベンダー企業はアナウンスするのか?
・何故各ユーザに管理者権限が与えられていないのか?
・何故多数のユーザへ管理者IDを貸し出すと脅威の発生率が高くなるのか?
など。
sponsored link
このページ
のTOPへ
