"情報セキュリティ"で何よりも大切なのは"人の意識"である
閉じる
閉じる

新しい記事を投稿しました。シェアして読者に伝えましょう

×

"情報セキュリティ"で何よりも大切なのは"人の意識"である

2015-11-13 12:00
  • 4



…まえがき

近年、様々な企業で情報漏えい等の問題が多発しており、情報セキュリティの在り方、考え方と言うものが非常に重要視されるようになってきました。

近頃の脅威としては「標的型攻撃」が何よりも話題の中心なのかなと考えています。
また、そのような外部からの攻撃だけではなく、スマートフォンやタブレット端末の普及による機密情報管理の複雑化、SNSが身近になったことによる人為的なミスによる漏洩問題等もセキュリティ対策の一環として必要な時代になってきたのではないかと感じています。

勿論、全ての脅威やリスクに対して対策を施すことができるのであれば、それは一番望ましい事でしょう。ですが実際問題、それは不可能です。
攻撃の手口と言うのは日々進化し、巧妙化していきます。その対策の為に、膨大な時間や金銭的リソースを大幅に要すると言うのは、あまりにもナンセンスです。
そういった環境の中で、我々がどのような事を考えていかなければならないのか、効果的な対策とは何か。と言う事を語ろうと思います。



…効果的な対策とは
効果的なセキュリティ対策を行うには、まず”現状分析”が大切であると私は考えます。
そこから「現状は何が不足していて、何が必要なのか」と言うことを選びとる必要がある。

何が言いたいのか簡単に言うと、
 すごい技術力のある企業では、技術に関する情報。
 家電とか販売を行う企業では、顧客の情報。
が”守るべき情報”に該当するかと思います。

そのように”守るべき情報”の対象や性質が変われば、その情報を守るための対策と言うのもガラッと変わってきます。
あの有名な企業がこんな対策をしているから、それを真似ておしまい!と言うのは、本当の意味でのセキュリティ対策ではないと私は考えています。
「何が必要で何が不要なのか?」「本当に守るべき情報が守られているのか?」
と言うことをしっかり考え精査を行い、その精査の結果に伴ったセキュリティ対策、システム構築をしなくてはならない時代がやってきたのではないか。

また、過去(※)にも述べましたが、もし万が一漏れてしまった場合の二次被害を小さくするためのワークフローの整備、「多層防御」を意識したシステム作りが非常に重要になってきていると感じています。

(※)
●【雑記】壁を高くするだけのセキュリティ対策。いい加減やめませんか?
http://ch.nicovideo.jp/kuramubon/blomaga/ar804721



…対策すべきポイント
対策すべきポイントをまとめると、以下の4つに分類されると言うのをよく言われています。
 組織的対策……ルールとか環境を作る。
 技術的対策……サーバのアクセス、ログを監視する。
 物理的対策……資料の入っているロッカーには鍵を掛ける。
 人的対策 ……ルールの周知、教育をする。お口はミッフィー。・x・
と言うようなのが主なポイントだと考えています。
後はCIAとかを意識しとけばいいんじゃないですかね。(てきとう



…今すぐできること
情報セキュリティ事故の統計を見ると、原因の8割以上は人為的ミスによって引き起こされたものなんですよね。
つまり一人一人が「置き忘れをしないように退室をする時には、もう一度周囲を確認する」とか、そんな小さなことから意識をすることが今すぐできることであり、かつ一番大切であると私は考えます。
あと、お金もシステム作る!とか言うよりかは掛からないから企業としては嬉しいですよね。



…ぱよぱよちーん
近頃話題ですね。コレ。
勿論、やったことも問題だなーと思うのですが、私は本件を通して、それだけ色んなソーシャル媒体を駆使すれば、個人情報が得られる環境になっていると言うことを個人個人が意識し、それを踏まえた発信をしていってほしいなーと思います。



…国家資格「情報セキュリティマネジメント試験」創設
そんな時代の流れが来ていることを踏まえてか、2016年より「情報セキュリティマネジメント試験」が開始されることが経済産業省より発表されました。
情報処理推進機構(IPA)によると、基本情報技術者試験と同じレベル2相当の資格になるみたいですね。私が今一番興味がある分野ですので、申し込んでおこうかなーと悩み中。



…用語(wikipediaより転載)
 CIAとは、以下3つの性質の略称名である。

機密性 (confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること

完全性 (integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること

可用性 (availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること

脅威 (threat): 脆弱性を利用 (exploit) して、リスクを現実化させる手段。自然災害も含まれる。
リスク (risk): 何かしらの損失を発生させる事態や状況への可能性。また、考えられる脅威を分析した結果として認識される損失発生の可能性(リスク因子)を指すこともある。リスクの分析をリスク分析という。



よければ以下記事もどうぞ
●【雑記】壁を高くするだけのセキュリティ対策。いい加減やめませんか?
http://ch.nicovideo.jp/kuramubon/blomaga/ar804721
●【雑記】ITリテラシーの低下とその危険性
http://ch.nicovideo.jp/kuramubon/blomaga/ar451553
●第一回・セキュリティ意識を高めよう! ~変なURL踏まないぞ!編~
http://ch.nicovideo.jp/kuramubon/blomaga/ar824483
●第二回・セキュリティ意識を高めよう!~そのPC、街中で画面を開いて大丈夫?編~
http://ch.nicovideo.jp/kuramubon/blomaga/ar856078
●第三回・セキュリティ意識を高めよう!~そのスマホ本当に売って大丈夫?編~
http://ch.nicovideo.jp/kuramubon/blomaga/ar883935



そんなかんじで。
おしまい。
広告
×
CIAを意識する、、、常に米国のエージェントの手の中で監視されているということかッ!?
59ヶ月前
×
>とまと船 さん
そこに気がつくとは・・・天才か・・・!
ついでにSWATもオマケについてくるで。
59ヶ月前
×
お口はミッフィー。・x・  ← これかわいい。つかってみよ。
59ヶ月前
×
>>3
せやろ。
学生時代にクソ流行った。
59ヶ月前
コメントを書く
コメントをするには、
ログインして下さい。