情報セキュリティマネジメント試験ノート~（四）情報セキュリティ対策

脅威

• 脅威の３分類
  • 人的脅威：人によって起きる脅威
    • 盗み見、不正利用、ソーシャルエンジニアリング、誤操作、紛失
  • 技術的脅威：技術を使って起きる脅威
    • 不正アクセス、盗聴、なりすまし、改ざん、エラー、クラッキング
  • 物理的脅威：直接的に、情報資産を破壊することによって起きる脅威
    • 破壊、窃盗、不正侵入、事故、故障、自然災害

人的セキュリティ対策

• 情報セキュリティ対策：管理的対策と技術的対策に分ける
• 人的セキュリティ対策：人による情報セキュリティ対策
  • 状況的犯罪予防
  • 不正のトライアングル
    • 機会、動機、正当化
• パスワード管理：パスワードクラックに対抗するための対策
  • ロックアウトを設定する→プルートフォース攻撃の対策
  • コアパスワードを使う→フィッシングやパスワードリスト攻撃への対策
• 利用者アクセスの管理：情報システムやファイルなどに対する利用者の権限を管理する
  • 特権ユーザを設ける
• 相互牽制：誤りや不正行為を防止するために、職務を分離し、ダブルチェックによりお互いに牽制を行う必要がある
• ログの管理：情報機器の稼働状態・障害や異常の発生状況を記録するログを管理する

技術的セキュリティ対策

• 技術的セキュリティ対策
  • セキュリティパッチを適用する
  • ウイルス対策ソフトを導入する
• 出口対策：万が一、不正侵入されたとしても、情報を外部に送出させない為の対策
  • 入口対策：攻撃者をネットワークやシステムに不正侵入させない
  • 内部対策：ネットワークやシステムの内部に不正侵入された後に被害を拡大させない
  • 出口対策：情報を外部に送出させない
• 不正アクセス対策：盗聴のほか、攻撃者により踏み台にされ、別のシステムを攻撃する側にならないために、不正侵入・なりすましを防ぐ対策
• 電子メールのセキュリティ：迷惑メール・誤送信・ウイルスメール・標的型攻撃メールを防ぐ対策
  • 送信側の迷惑メール対策
    • SMTP-AUTH
    • POP before SMTP
    • OP25B
  • 受信側の迷惑メール対策
    • SPF
    • DKIM
  • 電子メールの誤送信
    • 誤送信防止のソフトを使う
    • 添付ファイルを暗号化にする
  • ウイルスメール対策
    • テキスト形式で送受信する
  • 標的型攻撃メールによる被害を防ぐ
    • 不審なメールを開かない社員教育
    • 不審メールに関する情報の共有
    • メールソフトにある迷惑メールのフィルタリング機能を使う
• Webのセキュリティ
  • URLフィルタリングをかける
  • コンテンツフィルタリングをかける
• スマートフォンのセキュリティ
  • OSを常に最新に更新
  • セキュリティ対策ソフトの使用
  • 信頼できる場所からアプリをインストールし、最新バージョンに更新
• アプリケーションセキュリティ
  • ソルト：パスワードを見破り難く設定する
  • ストレッチング：パスワードを見破りする時間を長くなるようにする
• 電子透かし：画像・音楽・映像データに、著作権者の情報を埋め込む技術
• ステガノグラフィ：データに情報を埋め込む技術
• ディジタルフォレンジックス：情報セキュリティの犯罪の証拠となるデータを収集・保全すること

物理的セキュリティ対策

• 物理的セキュリティ対策：窃盗・破壊・紛失を防ぐ為の対策
  • 立ち入る制限
    • 職務に応じて立ち入りできる区域をレベルわけ
    • セキュリティゲート・間仕切りで区分ける
  • 入退室管理
    • ICカード・指紋認証・警備員による目視・入退室の記録・監視カメラ
    • アンチバスパック
  • 訪問者の管理
    • 訪問者対応
    • 受渡業者の管理
  • 情報機器の保護
    • 盗難・持ち出し防止
    • 不正操作
    • 覗き見防止
  • 管理区域内のセキュリティ管理
    • 身分証明書の携帯
    • 持ち込み出しの管理
    • 重要書類や記録媒体の管理
  • サポートユーティリティ
    • サーバラック
    • 遠隔バックアップ
    • ミラーリング