セキュリティソリューション
- 必要な3つの要素
- セキュアな環境とは?
- セキュリティツールの提案
- お問合せ
部外者のネットワーク接続
協業関係にある部外者や来客者がネットワークにケーブルをつなぐだけで、社員と同じようにネットワークを自由に利用できるようになっている。共有サーバへのアクセス制御
ネットワークに繋がった全てのPCから、共有サーバにアクセスできるようになってしまっている。PCログインパスワードの未設定
憶えているのが面倒なのでコンピュータにパスワードの設定をしていなかったり、設定していても定期的に変更を行っていない。データの社外持ち出し
機密情報を、取引先企業との打ち合わせや自宅での作業のため、社外へ持ち出すことが多い。データのバックアップ
データのバックアップを取るように言われているが、時間がかかり、いちいち実行するのが面倒で、たまに忘れてしまう。離席時のPC画面
コンピュータの画面に作業中のファイルを表示させたまま離席することがある。オフィス外からのネットワーク接続
会社の外からでも、社内の無線LANにつながることがある。保護されていない電子メールの送信
重要な情報などを、暗号化などの保護されていない状態で電信メール送信している。ネットワークのログ監視
ネットワーク上のPCの作業ログ及び障害ログが取られておらず、不正なアクセス等が監視されていない。セキュアな環境を構築する目的は、社内で取り扱われる大切な電子情報を、様々なリスクから守ることにあります。
「意図的な情報漏洩」以外にも、外的要因やHDD障害によるデータの損失、不許可アプリケーションや私用パソコンの使用、あるいは設定漏れや盗難や紛失による漏洩などによって起こる「意図しない情報漏洩」などがあります。
オフィス環境において、どのような「場面」でどのようなリスク対策が必要なのか。そのポイントとなる「場面」を特定し、必要なセキュリティツールを導入することにより、セキュアな環境構築が実現できるのです。
上図は、情報セキュリティツール実装前において、「情報」セキュリティ対策が必要な7つのポインを示しております。
以下に各ポイントの問題点を示すとともに、ISO27002において適用される情報セキュリティ管理策を示します。
「意図的な情報漏洩」以外にも、外的要因やHDD障害によるデータの損失、不許可アプリケーションや私用パソコンの使用、あるいは設定漏れや盗難や紛失による漏洩などによって起こる「意図しない情報漏洩」などがあります。
オフィス環境において、どのような「場面」でどのようなリスク対策が必要なのか。そのポイントとなる「場面」を特定し、必要なセキュリティツールを導入することにより、セキュアな環境構築が実現できるのです。
上図は、情報セキュリティツール実装前において、「情報」セキュリティ対策が必要な7つのポインを示しております。
以下に各ポイントの問題点を示すとともに、ISO27002において適用される情報セキュリティ管理策を示します。
※ISO27002とは?
ISO27002(情報技術-セキュリティ技術-情報セキュリティマネジメント実践のための規範)とは、情報セキュリティマネジメントシステム(ISO27001)において適用される情報セキュリティ管理策(対策)を、より具体的に示した規格。
ISO27002(情報技術-セキュリティ技術-情報セキュリティマネジメント実践のための規範)とは、情報セキュリティマネジメントシステム(ISO27001)において適用される情報セキュリティ管理策(対策)を、より具体的に示した規格。
部外者のネットワーク接続
関係者・部外者を問わず、「誰でも」が社内の重要情報にアクセスできてしまっていませんか?もし、機密情報や、顧客情報を持ち出されてしまったら・・・・。
(ISO27001 適用管理策)
A.11.4.7 ネットワークルーティング制御
コンピュータの接続及び情報の流れが業務用ソフトウェアのアクセス制御方針に違反しないことを確実にするために、ルーティング制御の管理策をネットワークに対して実施することが望ましい。A.11.4.5 ネットワークの領域分割
情報サービス、利用者及び情報システムは、ネットワーク上、グループごとに分割することが望ましい。共有サーバへのアクセス制御
共有サーバには経営や経理、技術、人事、顧客などの重要情報が保存されています。権限のない社員が知らない間にアクセスして重要情報を見たり、コピーしているかも知れません。(ISO27001 適用管理策)
A.11.6.1 情報へのアクセス制限
アクセスへの制限は、個々の業務用ソフトウェアの要求事項に基づくことが望ましい。アクセス制御方針は、組織のアクセス方針と整合していることが望ましい。A.10.10.1 監査ログ取得
利用者の活動、例外処理及びセキュリティ事象を記録した監査ログを取得することが望ましく、また、将来の調査及びアクセス制御の監視を補うために、合意された期間、保持することが望ましい。PCログインパスワードの未設定
コンピュータの使用者を限定するためのパスワードは、必ず設定して、定期的に変更することが情報セキュリティの大原則です。 他人が勝手に操作し、重要情報を見られてしまったら・・・。(ISO27001 適用管理策)
A.11.5.2 利用者の識別及び認証
すべての利用者は、各個人の利用ごとに一意な識別子(利用者ID)を保有することが望ましい。また、利用者が主張する同一性を検証するために、適切な認証技術を選択することが望ましい。A.11.5.3 パスワード管理システム
パスワードを管理するシステムは、対話式とすることが望ましく、また、良質なパスワードを確実とするものが望ましい。データの社外持ち出し
企業内情報を社外へ持ち出すことは、非常に高いリスクを背負うことになります。 移送時の盗難、置き引きや置き忘れ、紛失・・・。 もし情報漏洩事故を起こしてしまったら・・・。(ISO27001 適用管理策)
A.10.8.3 配送中の物理的媒体
情報を格納した媒体は、組織の物理的境界を越えた配送の途中における、認可されていないアクセス、不正使用又は破損から保護することが望ましい。A.10.8.1 情報交換の方針及び手順
あらゆる形式の通信設備を利用した情報交換を保護するために、正式な交換方針、手順及び管理策を備えることが望ましい。データのバックアップ
ウィルス感染、ハードディスクトラブル、間違った上書き保存など・・・。 企業にとってデータはかけがえのない大切な情報資産。 障害復旧には作成時以上の労力とコストを必要とします。(ISO27001 適用管理策)
A.9.1.4 外部及び環境の脅威からの保護
火災、洪水、地震、爆発、暴力行為、及びその他の自然災害又は人的災害による被害からの物理的な保護を設計し、適用することが望ましい。離席時のPC画面
離席中のコンピュータに、他人に操作されては困るデータが表示されていたり、表示されている内容が公開を禁止されている機密情報だったら・・・。(ISO27001 適用管理策)
A.11.3.3 クリアデスク・クリアスクリーン方針
書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用することが望ましい。オフィス外からのネットワーク接続
無線LANはケーブル配線が要らず、電波の届く範囲のどこにいてもネットワークに接続できます。 しかし、社外で電波を受信できて、社内ネットワークへ不正にアクセスされてしまったら・・・。(ISO27001 適用管理策)
A.11.4.3 ネットワークにおける装置の識別
装置に内蔵された又は附属した識別子は、装置がネットワークへの接続を許可されているかを示すために用いることができる。保護されていない電子メールの送信
重要な情報が書かれた電子メールまたは添付資料。誤って、違うあて先に送信したり、認可されていないアクセス、改ざん又はサービス妨害されてしまったら・・・。(ISO27001 適用管理策)
A.10.8.4 電子的メッセージ通信
電子的メッセージ通信に含まれた情報は、適切に保護されなければならない。ネットワークのログ監視
不正な作業や障害などが起こっていても、それを見過ごしてしまっていたら。また、情報漏えいが起こった場合に、どこに問題があったか原因究明できなかったら・・・。(ISO27001 適用管理策)
A.10.10.1 監査ログ取得
利用者の活動、例外処理及びセキュリティ事象を記録した監査ログを取得しなければならず、また、将来の調査及びアクセス制御の監視を補うために、合意された期間、保持しなければならない。