内部犯行への対策：情報セキュリティアドミニストレータ試験対策

TOP ＞午後対策＞内部犯行への対策

内部犯行への対策

問　題《情報セキュリティアドミニストレータ午後対策》

＠IT
第1回情報セキュリティポリシー入門
http://www.atmarkit.co.jp/fsecurity/rensai/policy11/policy01.html
を読んで下記問いに答えよ。

　(1)企業の情報資産は、ユーザーの認識不足や外部からの不正アクセ
　　スなどの他にどのような脅威にさらされているか答えよ。

　(2)(1)の脅威の発生率を抑えるために有効な手段は何か。

　(3)感想・調べたこと

情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。

解　説《情報セキュリティアドミニストレータ午後対策》

(1)企業の情報資産は、ユーザーの認識不足や外部からの不正アクセ
　スなどの他にどのような脅威にさらされているか答えよ。

>内部犯行

>企業の情報資産は、内部犯行という大きな脅威にもさらされている。

>企業の情報資産は、ユーザーの認識不足や外部からの不正アクセスな
>どによるものだけでなく、正社員、契約社員、派遣社員、アルバイト、
>パートタイマーなどによる情報資産の漏えい等のいわゆる内部犯行と
>いう大きな脅威にもさらされている。

>正社員、契約社員、派遣社員、アルバイト、パートタイマーなど組織
>における内部犯行による情報資産の漏洩の脅威。

　「市場の失敗事例で学ぶ情報セキュリティポリシーの実践的構築手法」
　では、人為的脅威の分類として、下記の３つに分け、かつ情報資産
　へのアクセス許可の有無も考慮します。

　　第一者：社員またはパート・アルバイト

　　第二者：契約された特定業務の委託先

　　第三者：上記以外の組織と利害関係を持たない者

　また、これらの脅威の分類に対し、故意によるものか過失によるも
　のかを分析します。

　内部犯行は、許可された第一者、許可されない第一者による脅威の
　発生と考えることができます。

　セキュリティニュースを見るときは、人為的脅威の分類をできるよ
　うにしておきましょう。

【参考文献】
　「市場の失敗事例で学ぶ情報セキュリティポリシーの実践的構築手法」
　　打川和男 (著), ジェイエムシー (編集)

(2)(1)の脅威の発生率を抑えるために有効な手段は何か。

>情報セキュリティポリシーを整備し、物理的な入退室管理や、適切な
>アクセス制御を実施し、またユーザーのセキュリティ意識レベルを上
>げることで、内部犯行を未然に防げる可能性は飛躍的に高くなる。

>企業が情報セキュリティポリシーを整備し、物理的な入退室管理や、
>適切なアクセス制御の実施、ユーザーのセキュリティ意識レベルを上
>げることによって、内部犯行の発生率を抑えられる。

　みなさん、同様のご回答を頂きましたので２つだけ紹介させて頂きました。

　ポイントとしては、

　・情報セキュリティポリシの整備
　・物理環境的対策
　・アクセス制御

　があがりました。その他に、技術的（論理的）対策、人的（管理的）
　対策がありますね。

　「ユーザーのセキュリティ意識レベルを上げる」とは人的（管理的）
　対策を施し向上させることだと考えられますが、具体的にどのよう
　にすればよいでしょうか？

　セキュアド試験対策としましては、字数制限がありますので、設問
　に応じて臨機応変に解答できるようにしておきましょう。

　・情報セキュリティポリシの同意
　・定期的な情報セキュリティ教育
　・監査
　・罰則規定

(3)感想・調べたこと

>今回のテーマは正直ドキッとしました。自分の勤め先でもインターネ
>ットが見れる環境になってるからです。企業側も私用のインターネッ
>トの取り扱いなど厳しく指導をしてない環境があります。
>電子メールの遣り取りが中心になってる業務ではパソコンには電子メ
>ールとインターネットは一緒になってます。
>私の勤め先では派遣社員には電子メールの設定はしてあっても、イン
>ターネットは閲覧できないように設定してあります。
>私も派遣社員ですが、備品発注にネットで注文するため、庶務を担当
>する人間はインターネットを閲覧できるように設定してあります。
>確かに派遣社員に権限をつける事は情報資産を守るためには大切だと
>思います。
>だからといって正社員は大丈夫という保証がない今の時代。雇用制度
>が複雑になってるので企業はどう権限を与えて情報資産を守ることが
>課題だと感じます。

　ご自分の環境に照らし合わせて情報セキュリティを考えるとより身
　近に考えることができますね。
　今後もそのような視点を切り口に情報セキュリティに取り組んでく
　ださい。

>一番難しいところですね。
>やろうとしても出来ない状況、やった事が発覚したら重い罰則といっ
>た「やらない方がいいですよ」と思わせるしかないのでしょうかね？

　罰則規定を設けることにより、抑止効果が働きますので有効な手段である
　と考えられます。
　しかし、これまでの日本の文化を考えると性悪説に基づいた情報セキュリティポリシ
　を策定すると社員からの反発も考えられますので、理解を求めながらバランスよく
　対応していかなければなりません。

>セキュリティー犯罪のほとんどは内部関係者によるものと言われてい
>ます。企業の情報資産を守る為、内部関係者のセキュリティー意識の
>向上を目指し情報の不正取得の犯行を抑止する効果をねらってセキュ
>リティポリシーの策定を行い効果的な形で継続される様に運用する事
>が大切であると感じました。今回の記事でセキュリティーポリシーを
>「持っている」事と「運用している」事の違いが良く分かりました。

　大まかな流れをご理解して頂けたようですね。
　具体的にどうすればよいか、ケーススタディで考えていきましょう。

　毎日新聞「インターネット事件を追う」
　http://www.mainichi.co.jp/digital/netfile/index.html

　などのサイトが参考になります。

内部犯行への対策：情報セキュリティアドミニストレータ試験対策