- 2006/08/04 掲載
【NETWORK Guide】情報セキュリティ基礎ガイド[第9回:求められているのは重層的な防御態勢]
【セキュリティ】企業活動を正常に遂行するための
記事をお気に入りリストに登録することができます。
何のためにセキュリティ対策を行うのか。その目的と具体的な対応策に関連する技術を取り上げる連載。第9回、第10回は総括として、重層的なセキュリティ体制とはどういったものか、導入時に現場へ理解を求める必要性についてそれぞれ取り上げる。
 |
|||
|
|
||
|
Guide 9
|
>求められているのは重層的な防御態勢 |
|
企業の情報セキュリティ対策というと、これまでは「外部からの不正侵入、あるいは各種の攻撃」を念頭に置くことが多かった。たしかにこういった類の脅威は無視できない存在だが、実際に発生している個人情報などの機密漏えい事件に見られるように、内部関係者によってセキュリティ上の事件が引き起こされる事例も多い。 そのため、外敵に対して守りを固めるだけでなく、内部関係者を対象としたセキュリティ対策も必要になる。たとえば、アクセス状況などの記録と監査、利用可能なアプリケーション(またはプロトコルなど)の制限、外部Webサイトなどの利用制限といったものが挙げられる。 実際、話題になりやすい個人情報漏えい問題1つとっても原因はさまざまであり、どれか1つの対策だけで対応できるとは考えにくい。また、業務の進め方や内部の制度、関係者のセキュリティ意識といった要素は組織ごとに千差万別だから、ある組織にとっての最適解が、別の組織にとっても最適解になるとはかぎらない。 もともと、ソフトウェアのプログラムミスや設定ミス、データ配置場所の選択ミスなどによる偶発的なデータ漏えい、あるいはデータ管理の不備によって情報の盗み出しが可能になっていた、といった事例は以前から存在していた。しかし、最近になって増加しているのが、業務に用いるノートPCの紛失・盗難による情報漏えいだろう。 この、ノートPCの紛失・盗難への対応策として、シン・クライアント化によって情報をサーバ側に集約、クライアントPCにはデータを保存しないようにする方法などが存在している。たしかに、シン・クライアントでは、クライアントPCからの情報漏えいを防ぐことはできるが、データにアクセスするために何らかの通信手段が必須になるから、今度はその通信手段、あるいはサーバに関連するセキュリティ対策を講じる必要がある。 このように、何か1つの対策だけで問題がすべて解決するということはない。さまざまな観点から検討した、重層的な対策を心がけてほしい。 
>>>Guide10 現場の理解が不可欠 |
あなたの投稿
PR
PR
PR
