ご案内
インサイドハッカーは、そもそも建物や部屋への侵入が容易で、コンピュータへの侵入も外部の者よりもずっと簡単です。
企業に情報漏洩等の事件が発生い外部にもその被害が及ぶ可能性があれば、事実を公表して顧客や取引先などに注意を呼びかけるのが企業の責任です。
中には、Webサイト経由の顧客情報流出の発覚後、迅速にWebページに事実報告とお詫びを掲載いユーザの問い合わせに応じる体制を作ったことで、姿勢が評価された企業もありました。
しかい一般に、企業は被害に遭った場合、企業イメージの低下を恐れて公表をためらいがちです。
犯人が社員であれば、ますますその傾向が顕著と考えられます。
被害報告や検挙数として表面的には現れにくい内部犯行ですが、前述したように内部の者は物理的、社会的に犯行が容易です。
また、外部の者とは違って、恨みや仕返しなど犯行の動機が存在します。
企業のセキュリティ対策に内部犯行防止策は重要な位置を占めます。
この章では、内部・外部からの犯行から何を守るべきなのか勉強していきましょう。
企業などが事業を営む上で役割を果たしているデータや知識、サーピスを情報資産UnformationAsset)といいます。
情報資産には紙に出力されたものも従業員の頭脳に記憶されているものもありますが、情報処理社会ではその多くをコンピュータで扱うことが可能な電子データとして管理されています。
例えば取引先の情報、売上や仕入れのデー夕、経理や人事・給与などのデータは、現在、ほとんどの企業がコンヒ。
ュータで管理している情報資産です。
新商品開発や製品設計情報、顧客の個人情報などもあります。
このような中で、企業の情報資産に対いインターネットをはじめとするネットワークを経由してアクセスする形態も増えてきました。
例えば、学校や企業がインターネット上に公開しているWebサイトは対外的なサービスを目的とする情報資産の一つです。
取引先や顧客との電子メールによるコミュニケーションも当たり前になっていますが、ここにも情報資産としてのサービスの存在が想像できます。
現在、情報資産は企業内に存在する電子データか、外部からアクセス可能なサーバ上に存在しています。
これらの情報資産は、その適正な管理や活用がなされない場合、企業経営に損害を与えることになります。
例えば、個人情報流出事件によって顧客からの信用を失うのは、企業にとっての損害となります。
37警察庁ハイテク犯罪対策のページ(http://wwwnpago」p/hightech/)情報資産の適正な管理状態は、以下の3つの性質を保つことです。
頭文字をとってCIAと呼ばれます。
これは情報セキュリティの3大基本概念で、悪意によってこれらを脅かし情報資産に直接的または間接的に損害を与えることを攻撃(Attack)といいます。
情報資産に対して保たれるべき性質攻撃の例。
機密性Confidenciality。
通信内容の盗聴。
Webベジ改窟。
完全性(保全性)Integrityアクセスログ38の消去。
シスァム停止を狙うDos攻撃。
可用性Availability。
大量のパケットを送信しネットワークを妨害。
表51情報セキュリティの基本概念。
機密性(Confidenciality)を保つということは、権限を持たないものが情報資産にアクセスできないようにすることです。
機密性の確保には認証による本人確認が欠かせません。
認証は主にIDやパスワード、最近で、はバイオメトリクス認証が用いられます。
一方、機密性が維持されることは、例えば無記名投票が確実に行われるための匿名性(Anonymity)を保つことにもなります。
完全性(保全性:Integrity)は情報システムにおけるデータや情報を正確に抜けがないように一貫性、継続性を維持することです。
例えば、アクセスログを改車・削除することは、誰がそれを行ったのかを明らかにすることによる責任追求性(Accountability)39を阻害することにもなります。
本人が行ったにもかかわらず、それを認めないことを否認といいます。
否認防止のためにも、正当な権限による変更や削除であってもその記録には完全性が求められます。
可用性(Availability)は情報システムが、必要なときにいつでも使える状態に整備されていることです。
システムの停止や停滞を狙う攻撃などのほか、平均故障間隔(MTBF)の短縮や、平均修理時間(MTTR:meantimetorepair)の延長も可用性を低下させます。
機密性、完全性、可用性は情報セキュリティの国際規格ISO/IEC1779940で情報セキュリティ上、維持されるべき性質とされているものです。
ほかに管理統制、利便性、法律違守性を追加して、情報セキュリティの概念とする考え方もあります。
情報資産に対い機密性、完全性、可用性を失わせる要因は企業経営への脅威(Threats)となります。
脅威には人的要因によるものと自然災害や事故によるものがあります。
情報セキュリティは主に、悪意やモラル低下により故意に行われる意図的な脅威と、操作ミスなどで引き起こされる偶発的な脅威への対策が中心になりがちです。
このような人的要因により情報資産に被害を与える事件を情報セキュリティインシデント(または単にインシデント)と呼びます。
38アクセスの記録を保存したファイル39説明責任」と表現されることもあります。
最近は、情報セキュリティインシデントがマスコミによって報じられる機会も多くなってきました。
一方、火災、洪水や地震などの自然災害、電気設備の障害による停電などの事故による被害もセキュリティ対策の項目です。
人的要因意図的な脅威。
偶発的な脅威。
自然災害・事故。
図51脅威の分類。
脅威が実際のものとなったとき、いかに対処い企業経営存続への影響を小さくしていくかを目指す経営管理手法を危機管理といいます。
過去に「事故や災害は必ず防ぐことができる」をモットーに安全対策を行った時代がありましたが、現在の危機管理は「事故や災害は必ず起こる」に発想、を転換い脅威にそなえています。
情報資産の機密性、完全性、可用性を失わせることなどのさまざまな悪影響を及ぼす脅威が、それぞれ与える被害をリスク(Risk)と呼びます。
脅威を分析いリスクを計算して行動を決定する経営手段をリスク管理(riskmanagement:リスクマネージメント)といいます。
リスク管理は許容されるコストで、情報システムに影響を及ぼす可能性があるリスクを識別い管理い及ひ会最小限に抑えまたは除去する過程です。
リスク管理手法では、リスクを以下の計算式により1年間の期待値で金額として表現します。
被害額x1年間の発生頻度=リスク例えば、営業員にノートパソコンを貸与して社外でも業務に使用することには、ノートパソコンの紛失、盗難による脅威があります。
パソコン自体の損失、保存されていたはずのデータの紛失・流出による被害、データや信用の復旧のための費用などがリスク算出に使われます。
紛失のせいで売れるはずのものが売れなかったとか、商談に失敗したということもあるでしょう。
このようなビジネスチャンスへの被害を機会損失といい、これもリスクに含まれます。
本当の不用品回収 大阪が勢いに乗っています。可能性を十分感じる不用品回収 大阪です。
いろんな不用品回収 大阪に対応しています。こだわりが詰まった不用品回収 大阪です。
鋭い観点から不用品回収 大阪の正体が明らかになります。不用品回収 大阪にうってつけの製品です。
いろんな遺品整理 大阪の利用価値をご存知ですか?遺品整理 大阪にチャレンジしてみましょう。
遺品整理 大阪を親身になってアドバイスいたします。可能性を十分感じる遺品整理 大阪です。
私は遺品整理 大阪はいかがですか?遺品整理 大阪の定番として根強い人気があります。
不用品処分 大阪スケジュール気になりませんか、不用品処分 大阪スケジュールのサイトでチェック!
さらに軽くなった不用品処分 大阪の対応が悪いとのクレームについては不用品処分 大阪に連絡し、事実確認した上で必要な指導などを行うなどの対応を記した。
覚えておきたい不用品処分 大阪を見に付けてみましょう。不用品処分 大阪のお得さが好評です。
不用品 大阪のことならお任せください!不用品 大阪の資格を取りたい方必見です。
近未来的な不用品 大阪からはシャープな印象を受けました。一つ上の不用品 大阪をしたい人必見です
不用品 大阪対策にお困りですか?不用品 大阪で販売促進をお手伝いします。