情報セキュリティ対策　〜コンピュータ管理〜

≪情報セキュリティポリシーに基づく管理≫

セキュリティの観点から、情報をどのように管理するのかというルール、すなわち情報セキュリティポリシーを定め、それに基づきパソコンや記憶媒体に関して以下のような管理を行います。

ここでポイントとなることは、情報を一律に扱うのではなく、重要情報や秘密情報を区別して重要度を定め管理することです。

≪パソコンの管理≫

• クリアスクリーンポリシーを遵守する
• 退社時はショットダウンし、他人に使われないようにする
• 修理などで社外の業者にパソコンを預ける場合など、機密の情報データは別の記録媒体に保存し、パソコン上（ハードディスク）から完全に消去しておくなどの対策を講じる
• パソコンを物理的に固定するセキュリティワイヤーなどを用いて、簡単に持ち出されないようにする

≪CD、DVD、USBメモリ、SDカードの記録媒体の管理≫

• 廃棄する場合、媒体を初期化し、破砕してから廃棄する
• 管理者の許可なく、自宅など社外に持ち出さない
• 私用のUSBメモリ等の記録媒体は持ち込ませない

現在、データやプログラムは、企業にとって非常に重要な資産となっています。事故や障害により、データ等が破損したり紛失してしまうと、企業にとって大きな損失となり、場合によっては存続さえ危ぶまれるような事態にもなります。

重要なデータやシステムは、定期的にバックアップ（退避）を行い管理する事が重要です。

≪データの障害と復旧≫

データへの障害は、下記のように分類できます。

◇ データ自体の障害
最も多い障害は、管理者や利用者の操作ミスにより、必要なデータを削除してしまったり、上書きをしてしまったり、重要なデータを変更してしまうことですうことです。また、マルウェアの感染によりデータが改ざんされたり、消去される場合もあります。
この対策としては、複数の世代でデータのバックアップを行い、保存しておくことです。

◇ 物理的な障害
物理的な障害として、データが保管されている装置（主にハードディスク）の装置自体の故障、地震や火災や水害による破損、盗難があります。
この対策としては、データを別の媒体で、別の場所に保管しておくことです。

≪バックアップの方法≫

一般的には、下記のような方法があり、組み合わせて管理します。

◇ 外部記録媒体方式（ＣＤ／ＤＶＤ、フラッシュメモリ、ハードディスク、テープ）

• 安価な機器、媒体でデータのバックアップが実施できる。
• 媒体は、ネットワークやＰＣと別の場所で耐火金庫等に保管する。

◇ ネットワーク方式（ネットワークストレージ、オンラインストレージ）

• ネットワークを介して、バックアップのために用意したディスク装置にバックアップが実施できる。自動バックアップ作業ができるため、深夜や休日にも実施できる。
• 大容量のディスクを用いることで複数世代のバックアップが可能となっている。また、差分バックアップなど、バックアップの効率を高め、システム運用の支障となりにくい方法も開発されている。
• オンラインストレージ方式は、外部のデータセンターやクラウドサービスを利用する方式で、大容量データの利用が可能で、火災など万一の場合でも安全に運用できる。

≪バックアップの運用≫

バックアップの運用は、データの用途、重要度、障害が生じたときの復旧のためのコスト等を考慮し、その運用管理のために、対象、保管媒体の種類、インターバル（頻度）と方式、保存期間、保管場所等を決定することが必要です。

◇ 対象
バックアップの対象となるデータ、プログラム、システム環境のことです。

◇ 保管媒体の種類
媒体（テープ、外部ディスク、CD/DVD、フラッシュメモリ、ネットワークストレージ等）は、何を使うかを選択します。複数の組合せが望ましいと言えます。

◇ インターバルと方式
毎日行う、１週間単位で行う、１ヶ月単位で行う等の、バックアップを実施する時間的間隔を決める必要があります。
また、フルバックアップ、差分バックアップ、増分バックアップのどの方法によるかを選択し、インターバルとの組み合わせで複数方式を用いると、効率的なバックアップが行えます。

◇ 保存期間
データを保存する期間であり、インターバルと世代管理を考慮して決定します。しかし、財務データや医療関係データ等、法的に保存期間が設定されている場合があるので注意が必要です。

◇ 保管場所
利用の目的により、システムと同じ場所、同一建屋のシステムと別の場所、別建屋、近距離の外部、遠距離の外部等を選択します。複数の場所とローテーションを組み合わせるのが望ましい方法といえます。
外付けの媒体か、ネットワークを介した媒体かの選択と組み合わせも重要です。外部ネットワークなら遠隔地を比較的容易に利用できる利点もあります。

パソコンの中の情報にアクセスするためにはパソコンへのアクセス、サーバの中の情報にアクセスするためにはネットワークへのアクセス、Webにある情報にアクセスするにはインターネットへのアクセスが必要です。

すなわち、パソコン、ネットワーク、インターネットは情報への入り口で、情報にアクセスするための手段となるので、誰がアクセスできるのかを管理しなければなりません。その基本が、ユーザIDとパスワードです。

ユーザIDとパスワードによる認証を省略することは、誰でもが情報にアクセスできる状態ということです。それは、ドアに鍵をかけずに誰でも入れる状態で放置するにも等しいことです。
ユーザIDとパスワードによる認証を設定し、ユーザIDとパスワードを適切に管理することは重要です。

≪推測されにくいパスワードを使う≫

パスワードが漏洩すると、悪意を持った他人が本人になりすまし、情報にアクセスすることができます。パスワードの漏洩を防ぐためには、推測されにくいパスワードを用いることが重要です。

• パスワードの内容に、生年月日や名前、電話番号や住所など、個人情報に類する情報を使わない
• ８文字以上の長さにする
• 大文字と小文字、数字や記号を組み合わせる
• 初期パスワードは必ず変更する（初期パスワードはイニシャルや生年月日など、便宜的に設定されるものが多いため）
• 同じパスワードの使いまわしは避け、定期的にパスワードを変更する

≪パスワードの自己管理を適切に行う≫

推測されにくいパスワードでも、パスワードそのものを見られてしまえば意味がありません。パスワードを入力する場合には、下記に注意しましょう。

• パスワードを入力を見られないようにする
• パスワードを付箋紙等にメモし目に付くところへ貼ったりしない
• パスワードの自動入力設定をしない
• パスワードは定期的に更新する

LAN上のファイルサーバは、業務に必要なさまざまなデータが蓄積されています。情報を集中して保管することには、一定の情報セキュリティ上のメリットもありますが、ファイルサーバへのアクセス管理や、保管するデータの完全性・可用性の管理を徹底しないと、重要情報の消失や情報の大量漏洩を起こす危険性があります。
ファイルサーバを適正に管理、運用することは重要です。

≪アクセス権を適切に設定する≫

サーバにおかれた共有の資源に対して、アクセス権を適切に設定し、必要な人が必要な権限で使用できるようにします。アクセス権を設定すると、自分にアクセス権が与えられていないフォルダ内のファイルを参照・複写・移動・更新・削除したりできません。

サーバは、複数の部門で共同利用していることが一般的です。全ての部門がポリシー（定められたルール）に従った適切な運用をするよう管理することも重要です。
また、保管する情報の管理レベルを統一したり、不要ファイルの削除など、情報のライフサイクル管理を行うことも重要です。

≪IDとパスワードを適切に管理する≫

アクセス権管理の基本となるユーザIDとパスワードの管理を徹底しましょう。（1-3参照）

WWWサーバは、インターネットから誰でもがアクセスできる状態にあります。それは企業の顔であると同時に、常に攻撃にさらされる危険な状態にあります。
従って、セキュリティ対策は万全を期す必要があります。セキュリティ関連製品を導入し、技術面での対策を行うなどして、WWWサーバの運用を適切に行うことが重要です。

≪不正アクセスを許してしまう要因を減らす≫

• セキュリティに関する最新情報を取得するよう常に心がける
• Webサーバのソフトウェアは常に最新バージョンにアップデートし、修正プログラムがある場合にはインストールする
• サーバの設定を初期設定のままにせず、不用なサービスは無効にし、必要なサービスのみ有効にしておく
• システムへのログインはサーバ管理者のみが行えるように管理する

≪情報漏洩につながる要因を減らす≫

• ホームページで個人情報を収集しているような場合、データは別のサーバで管理する
• ホームページで収集した情報の取り扱いについて、社内ルールを明確にしルールを遵守した運用をする

≪不正アクセスを監視する≫

• 不審なアクセスがないことを、アクセスログを取り定期的にチェックし、一定期間、安全に保存管理しておく
• システムの監視ツールなど、専用のツールを導入する

≪攻撃の踏み台にならないよう防御する≫

• 第三者によるマルウェア埋め込みなどが起きないよう脆弱性を徹底して修正する