事業活動におけるリスク
問 題 《情報セキュリティアドミニストレータ午後対策》
COLUMNセキュリティ監査入門
http://premium.nikkeibp.co.jp/e-gov/column/2004/column9_12a.shtml
を読んで下記問いに答えよ。
(1)個人情報の漏えいの脅威を挙げよ。
(2)1台のパソコンを複数の人が共用している場合、どのようなリス
クが考えられるか答えよ。
(3)感想・調べたこと
情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)個人情報の漏えいの脅威を挙げよ。
>社員によるデータ持ち出し・紛失
>・内部犯行による漏えい
>・持ち出した機密情報の紛失
おなじみの脅威分析です。
復習しておきましょう。
◇脅威 とは。。。
情報資産の機密性、完全性、可用性を失わせ、被害を与えるもので、
意図的な攻撃以外に、故障、事故、災害も含まれます。
脅威の分析はこのように分類して考えるといいでしょう。
ポイントは「人」の場合、組織とどういった関係を持った人なのか、
それは故意なのか過失なのかを分析することです。
(2)1台のパソコンを複数の人が共用している場合、どのようなリス
クが考えられるか答えよ。
>高くなる事と事故時の原因究明の際、誰がいつログインしたか追求が
>困難になり責任の所在が不明確となる。
1台のパソコンを複数の人が共用している場合、アカウント毎に管理され、
使用後にきっちりログオフされていれば、リスクはそれほど高くはなりませんが、
アカウントを共有していたりすると、本人を特定できないことから、
一種の匿名性を持つことになります。
万一、何らかの問題が起こった場合、責任の所在が不明確になってしまいますね。
また、匿名性を持つことで、不正行為の牽制機能が働かず、不正行為を
引き起こす原因ともなりかねません。
このような背景から、以下皆さんが挙げていただいたリスクが考えられます。
>・情報が改竄される。
>・何かが発生した場合は誰が行なったか特定が不可能。
>・なりすましが発生する。
> (但し、「個々のパスワード管理がされていない」や「暗号化などの
> 措置がとられていない」などの場合)
>・なりすましによる不正アクセス
>・不正プログラム(トロイの木馬、バックドアなど)の設置
(3)感想・調べたこと
>シチュエーションというか、環境(どのような状態なのか)があまりピンと来なかった為に
>解答が思いつきませんでした。
>修行が足りませんね。(反省!!)
情報セキュアドの午後試験では、シチュエーションが設定されますので、
それに従って解答を導けばいいですね。
ここでは、あえて状況設定をしませんでした。
なぜなら、ご自分の中で自由に状況を設定して頂いて構わないからです。
昨今、個人情報漏えいのニュースが絶えませんよね。
その事件の中から、1つでも結構ですので、ご自分で状況を設定して、
脅威は何であったのかを分析してみると非常にいい勉強になります。
>「純粋リスク」に分けられますよね。
>この場合はやはり、「純粋リスク」のみを考えれば、よろしいので
>しょうか?
>また、投機的リスクの場合、「マイナス面」だけではなく、「プラス面」
>も存在しますよね。
たしかにリスクとは、事象発生の不確実性ということで、損失等の発生の危険性
だけではなく、新規事業進出による利益又は損失の発生可能性なども含まれます。
ISMSの構築に関して、組織は事業活動全般のリスクに着目し、
好ましくない結果の最小化に努めることが必要です。
>事件や事故が生じたときの責任および管理手順を明確にする事も必要だと思います。
管理手順を決め、それを遵守していきます。
運用状況をモニタリングし、問題点があれば改善していくという流れが大切ですね。
>データの物理的な輸送に関するセキュリティについて述べられています。
データの保護に関しても、いろいろな観点から見ることによって、
リスクが洗い出されますね。
sponsored link
このページ
のTOPへ
