システム開発における情報セキュリティ8
この記事は、システム開発における情報セキュリティ7の続きです。前回は、情報資産の位置とセキュリティについて解説しました。今回は、情報資産のアクセス方法とセキュリティについて解説します。
情報資産の位置が決まったら後は、その位置にある情報資産にどうやってアクセスするのかを考えます。位置を考慮しアクセス方法を大別すると、グローバルとローカルに分けられます。さらにローカルを分類すると、個人のPCとローカルエリアネットに分けられます。
個人のPCなどに保存される情報資産は、一時的なものか個人的なものです。そういった情報資産については、適切な人だけをアクセスする方法と、紛失時の対応について考える必要があります。
例えば、業務で作成した一時的な情報資産を保存したノート型PCを紛失した場合、そのノート型PCを拾った人がその情報資産を取得する事が可能となってしまいます。また、席を離れた隙に他人がそのPCを使用する可能性もあります。そういった可能性を考え、個人認証システムと情報資産の暗号化を検討します。それに加え、「作業が終わったら一時情報を必ず消す」、「個人情報は保存しない」などの業務規則も必要となります。
ローカルエリアネットワークに保存されている情報資産は、業務上の機密情報が多いため、個人的な情報よりも慎重にアクセス方法と運用管理方法について考えなくてはなりません。基本的に権限がない人は全て拒否する方針で考えます。また、物理的なセキュリティも考えなくてはなりません。物理的なセキュリティとは、サーバーが置いてある部屋への入室を制限する、業務が停止している間はデータベースサーバーの電源を入れないなどといった事を指します。そういった物理面のセキュリティは忘れやすいので注意しましょう。
最後にグローバルな情報資源について書きます。グローバルな情報資源は非常に危険だと考えて下さい。クラッキング方法はいくらでもありますので、ローカルな情報資源よりも細かい単位で、アクセス方法とセキュリティについてを考えなくてはなりません。具体的には、使用するプロトコル、業務規則、管理方法、運営方法を細かく分析します。
TCP/IPはセキュリティ意識が低い時に設計されたものであり、プロトコルそのものに弱点が存在します。そういった根本的な弱点がありますので、プロトコルの仕様を踏まえてセキュリティ対策を考えなくてはならないのです。システムを設計する人は、クラッカーになったつもりで不正にアクセスする手段を考え、その不正アクセス方法を防ぐ方法を検討します。
しかし、技術だけを考えてセキュリティ対策をしても不十分です。ソーシャルエンジニアリングによるクラッキングが考えられますので、プロトコルといった情報技術だけではなく、情報資源を扱う人間を対象にしたセキュリティも考えなくてはなりません。ですから、業務規則、管理方法、運用方式まで詳細に分析し、クラッカーがどのように不正アクセスするのかを考え、それを元にセキュリティ対策の実施/実現方法を考えます。続く...
情報資産の位置が決まったら後は、その位置にある情報資産にどうやってアクセスするのかを考えます。位置を考慮しアクセス方法を大別すると、グローバルとローカルに分けられます。さらにローカルを分類すると、個人のPCとローカルエリアネットに分けられます。
個人のPCなどに保存される情報資産は、一時的なものか個人的なものです。そういった情報資産については、適切な人だけをアクセスする方法と、紛失時の対応について考える必要があります。
例えば、業務で作成した一時的な情報資産を保存したノート型PCを紛失した場合、そのノート型PCを拾った人がその情報資産を取得する事が可能となってしまいます。また、席を離れた隙に他人がそのPCを使用する可能性もあります。そういった可能性を考え、個人認証システムと情報資産の暗号化を検討します。それに加え、「作業が終わったら一時情報を必ず消す」、「個人情報は保存しない」などの業務規則も必要となります。
ローカルエリアネットワークに保存されている情報資産は、業務上の機密情報が多いため、個人的な情報よりも慎重にアクセス方法と運用管理方法について考えなくてはなりません。基本的に権限がない人は全て拒否する方針で考えます。また、物理的なセキュリティも考えなくてはなりません。物理的なセキュリティとは、サーバーが置いてある部屋への入室を制限する、業務が停止している間はデータベースサーバーの電源を入れないなどといった事を指します。そういった物理面のセキュリティは忘れやすいので注意しましょう。
最後にグローバルな情報資源について書きます。グローバルな情報資源は非常に危険だと考えて下さい。クラッキング方法はいくらでもありますので、ローカルな情報資源よりも細かい単位で、アクセス方法とセキュリティについてを考えなくてはなりません。具体的には、使用するプロトコル、業務規則、管理方法、運営方法を細かく分析します。
TCP/IPはセキュリティ意識が低い時に設計されたものであり、プロトコルそのものに弱点が存在します。そういった根本的な弱点がありますので、プロトコルの仕様を踏まえてセキュリティ対策を考えなくてはならないのです。システムを設計する人は、クラッカーになったつもりで不正にアクセスする手段を考え、その不正アクセス方法を防ぐ方法を検討します。
しかし、技術だけを考えてセキュリティ対策をしても不十分です。ソーシャルエンジニアリングによるクラッキングが考えられますので、プロトコルといった情報技術だけではなく、情報資源を扱う人間を対象にしたセキュリティも考えなくてはなりません。ですから、業務規則、管理方法、運用方式まで詳細に分析し、クラッカーがどのように不正アクセスするのかを考え、それを元にセキュリティ対策の実施/実現方法を考えます。続く...
スポンサーサイト
