4.3.2. 情報管理担当者のための情報セキュリティ対策
■ 機器障害への対策
コンピュータを安全に利用するためには、人的な不正侵入を防ぐにだけでなく、雷等の自然災害から発生する停電、機器の物理的障害が発生した場合の対策も検討しておくべきです。
・停電対策
サーバーには無停電電源装置(UPS)を設置し、停電や電圧降下が発生した場合に、内蔵バッ テリから一時的に電気を供給できるような対策が必要です。無停電電源装置は一定時間電気 の供給が停止した場合には、サーバーを自動的にシャットダウンしファイル等の破損を防止します。また、雷による機器の破損も防いでくれます。
・データのバックアップ
サーバーに障害が発生したときのために、毎日バックアップをとっておくことが大切です。バックアップソフトの中には、コンピュータのOSや、常に更新されるデータベースなどを、コンピュータを停止することなく自動的にバックアップすることができるものもあります。
・サーバーの停止
あらかじめ全サーバの内容を保管し緊急時にすぐに代替機を設定できるようにしなければなりません。社内の基幹サーバには、サーバの停止が業務に大きな影響を考慮し交換用のサーバーを用意しておくことが必要です 。
■ ハッキングによる被害と対策
ハッキングを受けると以下に記述するような被害が発生します。
・データの改ざん、盗難
・システムの破壊
・サーバやサービスの停止
・迷惑メールの中継に利用
・踏み台に利用されて他のコンピュータを攻撃
・バックドアによる外部からの侵入
1 これらの被害から企業や組織の情報資産を守るためには、サーバ設定の確認が不可欠です
(前章公開サーバ管理運営サーバ設定の確認参照)。
2 守るべきサーバの外側にファイアウォールを導入することで、インターネットか らのTelnetやFTPといった通信をブロックします。
3 勝手にクライアントコンピュータの機器構成を変えたり、企業や組織内で許可して いないソフトウェアをインストールしたりすることを禁止します。管理者が許可していないソフトウェアのインストールは、セキュリティホールに直結することがあります。
4 モバイル機器には社内システムのユーザ名やパスワードを記憶させないようにし ましょう。ユーザがモバイル機器を紛失してもすぐにそのユーザ認証情報を変更することで、ハッキングなどの危険から情報資産を守ることができます。
このような情報セキュリティ対策を通して、ハッキング被害の可能性を減少させましょう。
対策:情報セキュリティを向上するためには(自設サーバ利用者向け)
■ 社員の不正による被害
内部の不正による被害をなくすためにユーザに適切な権限を設定したユーザアカウントを配布しパスワード管理方法を全社に浸透さます。
ノートパソコンやモバイルコンピュータを社内のネットワークに不正に接続できないように環境を設定したり、電子メディアの保管場所を管理するなど電子データに対する認識を高め、社内のデータを外部に持ち出すことが犯罪行為になり得るということをしっかりと教育します。
サーバ室を設置した場合には、
・ サーバ室に対する入退室の方法、鍵の管理等ルールを明確に決定する。
・ 外部のものが出入りする場合には担当者が付き添うなどのルールを決定する。
・ サーバ使用後は常にログオフにする 。
・ 抑止効果のためカメラの設置をする。
以上サーバ室の利用方法については、関係者にルールを徹底するようしてください
■ 情報セキュリティポリシーの導入と運用方法
「情報の機密性や完全性、可用性を維持していくために組織等における統一のとれた情報セキュリティ方針のこと」を情報セキュリティポリシーと言います。
組織全体のルールから、どのような情報資産をどのような脅威から、どのようにして守るのかについての基本的な考え方、ならびに情報セキュリティを確保するための体制、運用規定、情報セキュリティ基本方針及び情報セキュリティ対策基準などを一般的に記載します。
情報セキュリティポリシーを作成する事は社員や職員の情報セキュリティに対する意識の向上や、顧客に対する信頼性の向上といった面でのメリットが得られます。
以下の点に留意し情報セキュリティポリシーの導入や継続的な運用を行うことが必要です。
・高度にネットワーク化した情報システムは、適切な情報セキュリティ管理を行うことによ り、大きな利便性を与えるものであることを認識する。
・企業や組織等の意思統一をして、明文化した情報セキュリティポリシーを策定する。
・情報資産の重要度を分類、評価して、守るべきレベルに応じた情報セキュリティ対策を情 報セキュリティポリシーに反映する。
・情報セキュリティの予防の面だけでなく、破られたときの対策の面も情報セキュリティポ リシーに反映させる。
・情報セキュリティポリシーは、「策定」、「導入」、「運用」、「評価」、「見直し」を 一連のサイクルとして、継続的に実施していく。
・「評価」、「見直し」に際し、情報セキュリティ全般に関する組織監査や、ネットワーク やサーバの情報セキュリティ監査を実施する。
・情報セキュリティポリシーの導入に際しては、ユーザの教育及び啓発の実施方法を十分 に考慮する。
|