|
|
| ●安全・快適な通信環境を陰で支える“ネットワーク・セキュリティ”● ネットワーク・セキュリティを取り巻く現状 ■ますます重要視される情報資産の適切な管理・安全性の追求 では、ここで、改めてセキュリティについて考えてみたいと思う。ここで、対策の対象となる情報資産とは、紙媒体に記載された内容、フロッピーディスク等の記録媒体や、コンピュータなどの情報機器上に電子化され記録されている内容、またプログラム上に具現化されているノウハウ等、情報処理に関わるデータ、情報機器、記憶媒体や、ノウハウなどをさしている。そして、これらの情報資産を適切に管理し、その正確性、安全性を確保していくことを“情報セキュリティ”と位置づける(図3参照)。 
図3 情報資産の適切な管理と安全性を確保する情報セキュリティ IPAセキュリティセンターでは、情報セキュリティについて“正当な権利を持つ個人や組織が、情報やシステムを意図通りに制御できる性質である”と定義している。 インターネットを経由して行われてきていた電子商取引分野において、従来専用線を介し行われていた企業間取引が、インターネットを経由したオープンなネットワーク上で行われることが普通になり、また金融機関においても、インターネット上での決済サービスが提供されるなど、現在、社会基盤の基幹インフラの1 つとしてネットワークは既に位置づけられている。 同時に情報セキュリティに関する重要度は、BtoB、BtoC等特定の分野、ビジネスに限らず、個々人の責任において、リスク回避を行う責任が生じてきているといっても過言ではないだろう。 情報セキュリティの果たす役割として、 ・機密性の確保 特定の権限を持っている個人が、あらかじめ決められた方法に従って、情報資産の取り扱いを行い、その守秘を行う。機密情報漏洩、成りすまし、著作権侵害、またプライバシー侵害などが対象となる脅威としてあげられる。 ・システムの安全性 システムが意図的、または偶発的な不正操作によって妨害されることなく、本来の目的である役割、機能を滞りなく遂行することができること。 ・データの安全性 不許可によるデータの改ざんや破壊を防ぐこと。 ・可用性の追求 情報に対して権限を保有する利用者のアクセスを可能にする。 ・責任追跡性 システムを構成するそれぞれのハードウェア、ソフトウェア、ネットワーク機器などが、障害を起こすことなく、稼動することはもちろん、あらかじめ決められた方法で、システム利用を制御する。こういった対策により、不正アクセス、Dos攻撃、誤作動、コンピュータウィルス、またシステム運用上のトラブルが発生した場合に、適切な対処を行うことが可能になる。また天災など、予期せぬアク シデントに対しても、システム制御を行うことにより、迅速な対応が可能になる。このように利用者の行為の追跡が保障されている状態。 ・信頼性 情報処理において、あらかじめ計画された処理速度および結果を確保する。 ・真正性、一貫性の保障 要求されている情報が、保護情報と同一のものであることを保障する。企業内データベース等、正確性、安全性が常に維持されなければならない情報に関して、情報の一貫した正確性を保障する。 などがあげられる。 昨今、ネットワークに対する脅威が複雑化、高度化しているにも関わらず、企業内にセキュリティの専門家を常駐させている企業は非常に少なく、またIT マネジャーが対策にあたっているケースも稀だ。従って、何をどう、どのように守るべきかという部分も明確にされていない場合が多い。 また、ハッキングの手口も巧妙になってきており、こういった状況を受け、少々コストがかかっても、情報セキュリティ部分を外部にアウトソーシングし、強固なセキュリティを確保したいという企業のニーズは、年々増えてきている。 また一方で、外部のコンサルタントの助けを借りながら、独自の“セキュリティ・ポリシー”を策定し、個々の企業システムに沿った情報マネジメントを行う企業もある。 しかしながら、実際には、セキュリティ・ポリシーという概念自体、まだまだ一般に浸透しているとはいい難く、また、直接収益増加に目に見える形で貢献するわけでもないので、経営層から見ると躊躇されるケースも多い。 ■国際的にも規格化が推進されている情報セキュリティ管理 国際的には、英国のセキュリティ国家標準であるBS7799のパート1が、2000年9月にISO技術標準として認定され、新たにセキュリティ管理基準であるISO/IEC17799が規定されている。パート1では、情報セキュリティ管理の実施基準として、情報セキュリティ管理システムのための実施項目および情報セキュリティ管理の方法が主に述べられており、ISO/IEC17799でも、こうした内容を踏襲した内容構成になっている。 また、セキュリティ技術基準であるISO/IEC15408も既に設けられており、情報セキュリティ対策へのアプローチ方法として、これらの国際標準規格は、最低限の投資基準を示している。 組織構築、人の教育、契約の締結や、物理的な管理項目など、具体的な管理項目や、その対象を規定する場合に、管理対策について規定しているISO/IEC17799が、暗号機能、アクセス制御、ユーザー認証など、脅威に対応するための機能と、その品質を確保する際に、セキュリティ技術対策について言及しているISO/IEC15408の規定内容を参考にすることが可能だ(表2参照)。 
表2 セキュリティ国際標準 この続きをお読みになりたい方はこちらから雑誌をお買い求めください。 (この続きの内容) |
|