インタネットの普及により情報セキュリティの重要性が高まっています。
セキュリティの話となるとどうしても小難しい話になると思いますが、具体的な対策を考える前にまずは基本的な理解をしたうえで考えるのがいいと思います。
情報セキュリティを具体的に考えると多くのことを考える必要がありそうですが、重要な要素は2つに絞ることができます。
- 防御
- 説明責任
基本的なことから要点を整理していきます。
情報セキュリティにおける防御とは
まず大事なのは必要な人以外は情報にアクセスできないということです。
重要なファイルやデーターをインターネットにいる他人が見ることは許されません。必要な仕組みがいくつかあります。
認証
利用する人をシステム側で特定するために認証を行います。一般的なのはWindowsログインですが、SNSやショッピングのようなインターネットサービスでも誰が使用者か特定するためにログインします。
誰が利用しているか特定するためにほとんどのシステムで認証は行われております。
アクセスコントロール
システムにログインができても誰でも使えるようになれば、システムのことを知らない人は必要なデーターやシステムを破壊する可能性もあります。またインターネットからの攻撃を防ぐことはできなくなります。
誰が何ができるか設定できることが重要です。ユーザーIDアクセス管理が必要になります。Windows ではActiveDirectoryをメインにして管理することができます。
通信プロトコルはIPが一般的になりますが、IPアドレスで組織内の外か中か、組織内であればどこからなのかわかるので、IPアドレスをもとにアクセス制限の設定が行えるファイアーウォールがあります。
ネットワークで使われるルータやサーバー、PCでの設定も行えますし、ファイアーウォールに特化した製品もあります。
ユーザーアカウントだけでなく、IPアドレスにより組織外からアクセスを禁止することが可能になります。
脆弱性対策
いくらユーザー認証やファイアーウォールがあってもシステムの誤作動などにより情報が意図しない形で漏洩する可能性があります。
アンチウィルスソフトがよく知られていますが、システムに定期的にアクセスして脆弱性をチェックする仕組みが一般的になっています。
説明責任の確認は重要
情報にアクセスできる人がいる以上その情報が漏洩する可能性が0になるとはいえず、完全にアクセスできないようにすれば漏洩は防げますがデーターが利用できなくなるからです。悪意によるものだけでなく不用意な操作により情報漏洩が発生する可能性もあります。
情報セキュリティを考える点でどうしても見落としがちですがどのような対策をしていても情報漏洩の可能性がある以上、万が一インシデントが起こった時のことを考えたほうがいいです。
監査
問題が起こっていないときでも適切にデーターが使われているか確認する必要があります。例えばあるファイルサーバーに誰がどのような理由でアクセスをしているか常日頃から確認する必要があります。
とくに重要な情報については厳密に確認できるようにするべきです。
また定期的に集まった監査ログをチェックして傾向を確認することも重要です。たとえば普段アクセスしない人が過剰にアクセスしていたりすれば問題のある行動である可能性があるからです。
通知
重要な情報は、不正アクセスを不審者が実行した時点で管理者がその事実をつかめるようにすることが望ましいです。
- パソコンが乗っ取られた
- ポートスキャンなど攻撃前の準備段階があった
- 普段アクセスがないところからアクセスがあった
- 重要だと思われるデーターが抜き出された
通知を出す条件を設定することにより管理者にメールなどで通知して、できるだけ早く対応することができます。
まとめ
べき論でいえば、システムのセキュリティ防御が完全に動作して不正なアクセスを防ぐことですが、それだけだと対策は難しいです。
標的型攻撃では攻撃者はターゲットを狙いシステムの不具合がなくても情報をせしめることも論理的にには可能です。例えば組織内部のユーザーをだまして情報を出させることは可能です。
標的型攻撃対策では技術的に完全に止めることは難しいのでちゃんと定期的に監査ログを確認することが重要だと考えています。
情報セキュリティ製品を選ぶ上で機能をよく知ることは重要ですが、それと同じくらいどのような監査ログが取得できるか確認することも重要です。