- 2006/07/24 掲載
【NETWORK Guide】情報セキュリティ基礎ガイド[第1回:何のためのセキュリティ対策なのか]
【セキュリティ】企業活動を正常に遂行するための
記事をお気に入りリストに登録することができます。
情報システムが企業活動の遂行に不可欠のものであることは論を待たないが、
セキュリティ上の問題が原因で、情報漏えいなどをはじめとしたリスク要因になる危険性もある。
とはいえ、適切なセキュリティ対策を講じるには、まず目的と手段について理解していることが必要だ。
そこで本稿では、本質的に何のためにセキュリティ対策を行うのかという目的と
具体的な対応策について確認したうえで、関連技術に関するさまざまな話題を取り上げてみたい。
 |
|||
|
|
||
|
Guide 1
|
>何のためのセキュリティ対策なのか |
|
毎日のようにセキュリティ関連の話題が取り上げられているが、個別の事象にとらわれるあまり、「何のためにセキュリティ対策を行わなければならないのか」が忘れられていないだろうか。まず、この本来の目的を確認しておきたい。 まず、第1に「企業がビジネスを遂行していくうえで必要となる重要な情報を守る」という目的が挙げられるだろう。ライバル企業への情報流出を防止する必要性については容易に想像できるが、それ以外でも、個人情報が名簿業者などに流出したり、あるいは売却されたりする事態、無関係の第三者がおもしろ半分に情報を盗み出して公開してしまうような事態など多角的に考慮しなければならない。 そして、ひとたびこうした事件が発生すれば、それは企業の信頼にかかわる問題になるうえに、対策や補償、その後のビジネスチャンスの喪失といった経営的打撃にもつながる。そこで情報を不正なアクセスや持ち出しから守り、適切に管理するため下記のような対策が必要になるわけだ(図1)。 
・ 正しいユーザーだけが情報にアクセスできるようにする。また、アクセスの記録を残して、不正行為の抑止や事後対応を図る(ユーザー認証、アクセス権管理) ・ 第三者が情報の内容を知ることがないようにする(暗号化) ・ 情報が改ざんされる事態を防止する、あるいは改ざんを検出できるようにする(改ざんの検出と予防) ・ 情報システムへの不正侵入を防止する。ネットワークを介した不正侵入だけでなく、人的な対策も必要になる(本人確認、不正侵入対策など) もう1つの目的として、「ビジネスの遂行に必要な情報を扱う企業の情報システムが、内外からの攻撃、あるいはさまざまなトラブルが原因で機能不全を起こすことがないようにする」という点が挙げられる。ウイルスやワームのような不正プログラムによってコンピュータやネットワークの機能不全が引き起こされれば、それもビジネスの機会喪失につながるからだ。こうした事態を防ぐには、以下のような対策が必要になる。 ・ ウイルス、ワーム、トロイの木馬、スパイウェア など、さまざまな不正プログラムの侵入や拡 散を防止する ・ ハードウェア、あるいはソフトウェアのトラブルが原因で、システムが停止してしまうことがないようにする こうした、さまざまな「セキュリティ対策」を実現するために、いろいろな技術が開発され、実際に多くのユーザーによって利用されている。しかし、攻撃する側の手法は進化を続けており、常に「最も弱い」と思われるポイントを突いてくるものだ。ある時点で完璧と考えられたセキュリティ対策でも、使い続けているうちに問題点が露見したり、当初には予想していなかったような攻撃にさらされたりすることが少なくない。恒常的な点検とアップデートが必須になる。 >>>Guide2 脅威の多様化と適切な内部統制の必要性 |
あなたの投稿
PR
PR
PR
