自治体職員の勉強ブログ

日々少しずつでも成長

情報資産に対する脅威と対策①

引き続き、情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2015年12月27日アクセス)の「Chapter Ⅱ 情報資産に対する脅威と対策①」の内容を独自にまとめてみました(一部、電子媒体の利用に関して「Chapter Ⅲ 情報資産に対する脅威と対策②」の内容を含んでいます)。


(↑記事は読み飛ばしていただいても結構です。)  


【紙媒体の利用に関する脅威と対策(例)】

(脅威)
紙媒体による情報セキュリティへの脅威としては、盗難紛失置き忘れ誤送信エラーレポート盗み見(のぞき見)スキャベンジング(悪意のある人がゴミをあさって機密情報を探すこと)破損水濡れ、などが考えられます。

(対策)
印刷(プリンタ)・・・出力された用紙の取り違えや置き忘れのチェック。部署ごとのプリンタ使い分け。重要情報へのパスワードによる印刷制限。

コピー(コピー機)・・・コピー最中にその場から離れない。コピーした/元の用紙の取り違えや置き忘れのチェック。利用制限カードの導入。

FAX・・・送信前後の電話連絡による授受確認。送信完了の確認(エラーレポート出力の可能性)。送信した用紙の置き忘れチェック。

郵便・配送・・・配送状況を追跡できる配達記録郵便や宅配便の使用。授受確認。適切な梱包。

その他(管理・廃棄)・・・ガラス張りではない施錠可能な棚などへの保管。クリアデスクの原則による机上の整理整頓。シュレッダーで裁断後の廃棄。廃棄業者との守秘義務契約。廃棄されるまで適切に記録し追跡する配布管理


【物理/人的脅威と対策(例)】

(脅威)
人の入退室による情報セキュリティへの脅威としては、関連会社・協力会社・派遣・アルバイト社員退職者来客者出入り業者、または、共連れ(入退室の正当な権利を持つ人の後ろについて不正に入室すること)による、重要情報や機器の盗難や盗み見、不正アクセスや不正プログラムの埋め込み、スキャベンジング、荷物取り違えや破損などが考えられます。
また、ノートパソコンなどのモバイル機器持ち出しによる情報セキュリティへの脅威としては、紛失や盗難、盗み見などが考えられます。

(対策)
物理的分離・・・セキュリティレベルで部屋やフロアを分ける。セキュリティレベルが高い部屋に窓を設置しない。

入室者の限定・・・IDカード、パスワード、バイオメトリクス(指紋、虹彩、声紋などによる)認証などの設定。退職者IDの速やかな削除。セキュリティゲート(サークルゲート・スイングゲートなど)の設置。監視カメラの設置。

施錠管理・・・重要情報やサーバなどを保管する部屋の常時施錠とセキュリティレベルに応じた鍵(電気錠・サムターン錠など)の選択。

モバイル機器・・・ハードディスクの暗号化偏光フィルタワンタイムパスワードの導入。


【災害・大規模障害に関する脅威と対策(例)】

(脅威)
災害・大規模障害による情報セキュリティへの脅威としては、地震台風水害などの自然災害や、火災電力障害通信(ネットワーク)障害などによる、停電や電圧低下、電子機器の破損、トラフィック集中による輻輳状態への陥りなど、可用性の低下が考えられます。

(対策)
地震・・・距離の離れた別の場所にバックアップ用の機器やデータを保管。転倒防止器具・免震装置の設置。

雷・・・避雷器(アレスタ)の設置。

台風・水害・・・セキュリティレベルの高い部屋には窓を設けない。地下にセキュリティレベルの高い機器や資料を置かない。

火災・・・不活性ガス(二酸化炭素や窒素、またはその混合物)による消火。不燃材料などの使用。

電力障害(停電・瞬断・電圧低下)・・・無停電電源装置UPS : Uninterruptible Power Supply)の準備と定電圧定周波装置(CVCF : Constant-Voltage Constant-Frequency)の併用。

通信(ネットワーク)障害・・・回線の二重化。

その他・・・フォールトトレラント(災害に備えて障害に耐える対策)の検討(フェールソフト(一部の機能を減らして運転継続)フェールセーフ(安全のためのシステム停止)など)。サーバへの対策(空調、消火設備、予備機、バックアップなど)。事業継続計画(BCP : Business Continuty Plan)リスクレベル定義合意書緊急対策手順書による対策の実施。


【電子媒体の利用に関する脅威と対策(例)】

(脅威)
磁気テープ(DLT、DDSなど)磁気ディスク(ハードディスクなど)、フラッシュメモリUSBメモリSDメモリカードなど)、光ディスク(CD、DVD、Blu-ray Discなど)、光磁気ディスク、などの電子媒体による情報セキュリティへの脅威としては、盗難紛失情報流出媒体の劣化フォーマット(初期化)後の復元、などが考えられます。

(対策)
ガラス張りではない施錠可能な場所での保管。ラベリング(管理者、機密度、作成・更新年月日、保管期間なと)による管理。パスワード要求。電子媒体への書き込み禁止するソフトウェアの導入。ソフトウェアを用いた完全なデータ消去。メディアシュレッダーによる裁断。