知って得するサイバーセキュリティ講座｜トーテックサイバーセキュリティ研究所

情報BOX 【知って得するサイバーセキュリティ講座】

第17回情報漏洩対策

2013年3月26日

サイバーセキュリティを実効性のあるものにするには、システムを導入するだけではなく、人財教育を含めたソフト面の充実が必要です。必要に応じて、人事や法務との連携のもとに、労務規定や契約内容の見直しを行なうケースも出てきます。

最も重要なことは、セキュリティ事故は必ず起こるという認識を共有し、事故を前提とした体制を作ることです。

情報分類

情報漏洩に対する対策において、アクセス管理を徹底することは最も基本的で、かつ重要な対策です。

まず、情報のアクセス頻度や重要度などの「可用性」、公開・非公開・機密・極秘などの「機密性」、変更履歴の管理の必要性などの「完全性」など、情報セキュリティに対する要求の観点から、「情報分類」を行います。この「情報分類」を行った結果から、情報にアクセスできる権限者を限定するようにします。

必要に応じて、情報が保管される場所や、暗号化や認証システム、アクセス手順に関する規定を設けて、情報を適切な管理のもとで取り扱う環境を用意します。

たとえば銀行の場合は、物理的に厳重に管理された閉じた環境で、限られた職員が厳密なアクセス手続のもとに情報を取り扱うことが求められます。一方で営業職の場合は、顧客情報等をノートパソコンに入れて持ち出さざるを得ないため、端末が紛失した場合に備えて指紋などの生体認証や、ハードディスク・ファイルの暗号化などの情報漏洩対策を行う必要があります。

アクセス管理の強化

一人につき１アカウントを徹底し、情報にアクセスしたユーザが誰か、アクセスログにより監査（不正利用がないか確認）できる体制を確立しなければなりません。アクセス管理を強化することで、社員による不正アクセスや悪意を持った情報漏洩に対する心理的抑止力の効果が期待できます。

まれにユーザ管理業務を簡略化するために、業務に使用するパソコンやサーバ、業務システムやデータベースなどのアカウントとパスワードを、複数のユーザで共有する場合がありますが絶対に避けなければなりません。

知ってはいても、なかなか実行することが難しいのはパスワード管理です。社内システムのパスワードと、社外に存在する様々なWebサイトのパスワードに同じものを使うのは論外です。定期的に変更することで、パスワードの安全性を保つ必要があります。

より強固なアクセス管理と認証が必要な場合は、認証ソリューションの採用を検討することをお勧めします。USBに差すキーにより、ワンタイムパスワードと呼ばれるアクセスするたびに異なるパスワードを使って認証する製品があります。このような認証ソリューションを使うことで高いセキュリティを実現し、パスワードを記憶するという煩わしさから解放されることができます。

当社製品『Magipass（マギパス）』も認証ソリューションです。当製品の詳細はこちらをご覧ください。→http://www.magipass.jp/

前号へ次号へ

◆ 次回は「メールの添付ファイル禁止とファイル送信サービス」についてお届けします。

セミナー講演のご依頼・お問い合わせはこちらから。

お問い合わせフォーム

過去の記事一覧

このページのトップへ

製品・サービス情報

情報BOX 【 知って得するサイバーセキュリティ講座 】

第17回情報漏洩対策

情報分類

アクセス管理の強化

情報BOX 【知って得するサイバーセキュリティ講座】