知り合いからが、今度IT会社と仕事することになったんそうです。
その場で、 「何をもって取引先のセキュリティが安全かがわからない」
「どんなことを聞けばいいかリストアップして」と言われました。
ITがわからない人でもITセキュリティで考えること、先方に確認することをリストアップしましたので活用してください。
外部攻撃対策
まずはイメージしやすい外部攻撃について説明していきます。
外部攻撃は文字通り「外からの攻撃です」。
例えばYahooに不必要に何回もアクセス使用する行為も外部攻撃になります。
※DoS攻撃と言います。 この記事では「風邪をひく」を例に説明していきたいと思います。
既知攻撃対策
多くの企業では外部攻撃からシステム守るために既知攻撃対策を実施します。
既知攻撃対策とは、既にある攻撃から身を守るということになります。
あなたの会社のPCにもウィルスバスターやMcafeeなどのウィルス対策ソフトが入っていませんか?
ウィルス対策ソフトとは一般化しているコンピュータウィルスを検知して除去するソフトです。
ほかにも外部攻撃対策はあります。ウィルス対策ソフトだけでは不十分ですのでお忘れなく。
一度問題になった事象で問題にならないようにすることが既知攻撃には重要になります。
未知攻撃対策
一部の大企業やクレジットカードなどの高セキュリティ情報を扱う企業が実施しており、
未知の攻撃からシステム守るために未知攻撃対策を実施します。
まだ公になっていない攻撃を検知して予防する必要があるため、未知攻撃対策は非常に難しいです。
手法としては敢えて攻撃させる領域を用意したり(ハニーポット)、外部から切り離された領域でウィルスを実行させてみる(サンドボックス)、などの方法があります。
なお最近ではAIを活用して未知攻撃対策をしている企業もあるようです。
内部不正対策
内部不正とは、正規に情報にアクセスできる人が悪いことをすることです。
ITセキュリティがわからない方は、ハッカーなどに攻撃されてデータが盗まれる!と考えると思います。
実は大量データを盗まれるのは内部不正がほとんどです。
予防的統制
予防的統制とは、悪いことをさせないようにどうするか?ということです。
具体的には特定の人しかアクセスできなくしたり、より細かく閲覧権限を分けたりすることになります。
予防的統制を導入すると運用が煩雑になります。
この辺りをどのように実装に落とし込むのかが技術屋さんの腕の見せ所です。
発見的統制
発見的統制とは、悪いことをされた時に追跡するための記録しておくことです。
重要な情報としていつ、だれが、どんなことです。
この3つが重要で、どれか一つでも欠けていたらダメです。 またその記録が正確であることが重要になります。
記録が改ざんされていたり、消されていたりする場合、記録の意味がありません。
ちなみにこれらの記録のことを監査といいます。
ITセキュリティ管理・運用
上で記載した通り守るということも重要になります。
しかし導入セキュリティ施策や規則をどのように管理・運用していくも重要になります
インシデント管理
万が一インシデント(問題)が発生した場合に、どのようにインシデントを解決し、管理していくも重要になります。
例えばメールを誤送信してしまい、顧客情報が流出してしまったします。
ちゃんとしたインシデント管理を行っている企業や団体ならば、問題を解決するだけでなく再発防止策を作成します。
ITセキュリティを管理・運用していく仕組みや組織があるかは必ず確認しましょう。
ITセキュリティ法規
ITセキュリティにも法律や規則が存在します。
例えば個人情報を扱う会社は、プライバシーマーク(Pマーク)を取得したり、 クレジットカード情報を扱う場合PSI DSSに準拠するなどが必要になります。
車の免許と一緒でしっかりと認定されていないとITセキュリティ対策がなされていないとみなされてしまいます。
担当には、何のセキュリティ法規を取得していますか?準拠していますか?としっかり確認しましょう。
ITセキュリティカフェposted with ヨメレバ
岡田仁志 丸善 2006年12月25日
