情報セキュリティの知識

「パソコンの様子が急におかしくなった。
もしかしたらウイルスに感染したのかも...」


と思った時、
まず最初に取るべき行動は
「パソコンからLANケーブルを抜きとること」です。
無線LANを使っているパソコンでは、
無線LAN機能をオフ、
または無線LANカードをパソコンから抜きましょう。


このような行動を取る理由は、
ウイルスの被害の拡大を防ぐためです。


LANケーブルを抜いた後は、
パソコンに詳しい方、
また会社にシステム系の担当者がいる場合は、
担当者に報告するようにしてください。


パソコンがおかしくなったからといって、
あれこれ操作しないようにしましょう。

情報セキュリティ対策を実施する上では、
人やシステムによる情報の振る舞いが
明確であることを確実にしなければなりません。

この特性を、情報セキュリティ対策の用語で
真正性(Authenticity)といいます。

発信する情報が、
なりすましや偽の情報では情報の価値がありません。

情報セキュリティを確保するには、
これらの問題がないことを証明する必要があります。

真正性は、
ユーザIDとパスワード、
指紋や虹彩による生体認証(バイトメトリクス認証)、
ICカードやディジタル署名による本人認証 という方法により確保します。

複数の要素を組み合わせることで、より真正性を高められます。

企業のセキュリティレベルを高める上では、
生体認証は非常に強力です。

生体認証には、
「本人を誤認識する」という問題が発生するケースもあるのですが、
「本人以外を本人と誤認識する」確率は非常に低いです。

しかし、装置が高額なため、導入のハードルはまだまだ高いです。

真正性を確保する1歩として、
まずは、パスワード、暗証番号にしっかりした情報(値)を設定しましょう。

簡単に破られる可能性があるため、
安易に名前や誕生日をパスワードに設定するのは危険です。

可用性(Availability)とは、
許可された人が、必要な時に必要な情報にアクセスし、
利用できる特性のことをいいます。

必要な時に必要な情報へアクセスできないと、
仕事に支障をきたします。


「あのファイルが見たいのに、突然アクセスできなくなった!」


皆さんも1度や2度は経験したことがあると思います。

このようなトラブルを避けるために、
保持している情報は、
いつでも確実にアクセスでき、
利用できる環境を整えておく必要があります。


そこで行うことが、可用性の確保です。

可用性を確保するための手段は色々あります。


「サーバに保存しているファイルが使えなくなった」
 ⇒⇒⇒ 複数のサーバを並列運用して可用性を確保。

「ファイルがウイルスに感染して使えなくなった」
 ⇒⇒⇒ ウイルス対策ソフトを導入することで可用性を確保。

「ネットワークがダウンしてインターネットが使えなくなった」
 ⇒⇒⇒ ネットワーク回線を二重化して可用性を確保。

「パソコンの負荷が高くて使いものにならない」
 ⇒⇒⇒ メモリの増設を行うことで可用性を確保。

「間違ってファイルを削除してしまった」
 ⇒⇒⇒ データのバックアップを行うことで可用性を確保。


可用性を確保するには、多くのケースで費用がかかります。

しかし、バックアップを行うためのソフトや、ウイルス対策ソフトは、
低コストで導入できます。

このように、一つ一つの問題に対して適した対策をとることが
可用性を確保する方法となります。

完全性(Integrity)とは、
情報が正確かつ完全であることを保護することをいいます。

第三者に情報を改ざんされたり、削除されてしまうと、
情報の正確さや完全さが失われてしまいます。

そのため、重要な情報が一瞬にして、
「価値のない利用できない情報」となります。


もし、その情報が会社の運命を左右するほど大事な情報だったとしたら・・・

想像しただけでゾッとしますよね。


信頼関係の崩壊、損害賠償請求、業務の停止・・・
このようにならないために、私たちは、
完全性を確保に取り組まなければなりません。


完全性を確保するには、
改ざんを検知する仕組みを取り入れます。

この仕組みで利用するのが「デジタル署名」です。


デジタル署名は、文書(ファイル)に電子的な署名を行うことで、
そのファイルが間違いなく本人が作成したものであり、
かつ内容が改ざんされていないことを検証するための技術です。

デジタル署名を使えば、
文書が改ざんされていないことを証明できるため、
完全性を確保することができます。

デジタル署名を使うには、身分を証明するための電子証明書を、
証明機関という、証明書を管理する機関へ申請して取得します。


では、証明機関はどこを選べばよいのか?

私がお薦めするのは、
実績が多く信頼が高いベリサインという会社です。


⇒ベリサインで電子証明書を取得する場合はこちらから行えます。

⇒個人用の電子証明書はこちらから取得できます。

機密性(Confidentiality)とは、
許可された人だけが、許可された情報にアクセスできることを
確実にすることを言います。

機密性を確保にするには、
許可されていない人に情報を使用させてはいけません。

悪意の有無を問わず、
許可されていない第三者が重要な情報へアクセスできる環境の場合は、
それが情報漏えいにつながる可能性があるためです。

私たちは、重要なファイルや、ファイルが保存されているフォルダに対して、
適切なアクセス権を設定」する必要があります。

アクセス権がない人に対しての最も良い対策は、
アクセス許可のないファイルを"見られないように"設定することです。

アクセス権の設定については、下記のページが参考になります。


▼Windows XPでアクセス権を設定する場合はこちら
【Microsoft】Windows XP Professional : 機能別紹介 - アクセス権の管理

▼Windows Vistaでアクセス権を設定する場合はこちら
【All about】Vistaでアクセス制限(オフィス編)(7)


情報へアクセスを許可している人と、
許可していない人を明確に区別し、
それぞれに対して適切なアクセス権を設定することが、
機密性を確保することにつながります。