内部セキュリティ対策：情報セキュリティアドミニストレータ試験対策

>・関係者が外部から持ち込んだPCによるウイルス／ワーム感染
>・関係者による社外秘情報の持ち出し／漏えい

　最近、ニュースでも取り上げられている問題はやはり関心が高いですね。

>権限外の不正アクセス、社外秘情報の漏えい、持ち込みＰＣによる
>ウィルス感染、情報機器の盗難・紛失、廃棄ＰＣからのデータ流失、
>Ｗｅｂやメールの私的利用

>・持ち込みPCによるウィルス/ワームの感染
>・社外秘情報の漏えい
>・権限外の不正アクセス
>・情報機器の盗難/紛失
>・Webやメールの私的利用
>・廃棄PCからのデータ流出

　情報セキュリティの脅威は外部からの脅威だけではありません。

　内部セキュリティの対策が不十分であるがゆえに問題が発生してしまった
　という事例は過去に多くあります。

　それぞれの問題に対して、情報セキュリティの３要素
　（機密性、完全性、可用性）をどのように脅かすか考えておきましょう。

>・記号や数字などを織り交ぜて規定数以上の文字列にする
>・定期的に変更する
>などのルールにのっとった運用が欠かせない

>ある回数以上入力ミスするとログインできないなど、ルールを設定し、
>違反するとログインできないなどの管理を徹底する。

　「ログイン時のID／パスワードによる認証」（ベーシック認証）の実施率は高いですね。

　しかし、実施していればいいというわけではありません。

　この実施には、情報セキュリティポリシ（規定、運用手順）が明確に定められており、
　日頃の状況を監視、定期的な情報セキュリティ教育などが含まれていなければなりません。

>(ユーザ)
>　・メモ用紙などに書いて放置しない。(記述しない)
>　・他人にわかりやすいパスワードを設定しない。
>　(アカウントと同じ、辞書の用語等)
>　・同じパスワードを長期間使用しない。
>　・ユーザIDは複数のユーザで利用しない。
>　・複数のユーザIDを持つ場合にはそれぞれ異なるパスワードを設定する。
>(システム管理者)
>　・電話による変更依頼や問い合わせに対して本人確認を行わないで
>　　変更や教える事をしない。
>　・不要なアカウントを残したままにしない。
>　・前回のログインの日時を表示する。
>　　(ユーザIDの不正な利用を発見する為)
>　・パスワードの再入力の回数を制限し、一定回数以上失敗した場合にはロックアウトする。
>　・定期的に変更を促す機能をシステムに設ける。
>　・パスワードは暗号化し、適切に変更する運用を行う。
>　・ユーザに必ずパスワードを設定させ、その秘匿に努めさせる。
>　・他人が容易に推測できるようなパスワードを設定できない機能を設ける。

　ユーザ、システム管理者の観点で考えていただきました。
　アカウント管理、特にパスワードの管理は、セキュアド午後において頻出項目ですので、
　ぜひ押さえておきましょう。

>パスワードチェックを随時行い、悪いパスワードは速やかに変更させたり、
>パスワードがユーザ意外に知られた場合、またはその疑いがある場合は
>速やかに変更させる必要もあると思います。

　そのとおりですね。
　パスワードは定期的に変更するという規定を設けたほうがいいです。
　定期的というのはよく使われるのですが、あいまいなので、
　実際は、１ヶ月とか２ヶ月とか具体的に指定したほうがいいでしょう。

　またログイン状況などをアクセスログを監視して、不正な兆候がないかどうか
　運用管理することも大切です。

>機密情報の持ち出しなどに対する対策として、さまざまなソリューションが発表・販売されているようです。
>ベンダーによってもそれぞれ特色があるようですが、内部的手法としては
>http://www.navipara.com/column_v/index2.php
>に紹介されているような基礎技術の組み合わせによるものがほとんどであるようです。
>きめ細かな対策により漏洩の可能性をつぶし、また抑制をかけていく精度を高める努力であると言える
>と思いますが、一方で「どの情報を機密情報として扱うか」といった情報内容そのものに関する
>コントロールもある意味で難しいものがあるのかも知れません。

　セキュリティと利便性はトレードオフの関係にあります。

　セキュリティに重きを置けば、ユーザが規定を守らなかったり、反発する恐れがあります。
　他方、利便性に重きを置けば、セキュリティが甘くなる恐れがあります。

　このバランスをうまくとっていくのがたいへんですが、非常に重要なことです。

　情報セキュリティはトップダウンで組織として対応していくという明確なビジョンが必要です。