システム開発における情報セキュリティ9
この記事は、システム開発における情報セキュリティ8の続きです。前回は、情報資産のアクセス方法とセキュリティについて解説しました。今回は認証とセキュリティについて解説します。
アクセス方法を定めた後は、認証について考える必要があります。情報資産は適切な人物以外に、不適切な操作させてはなりません。例えば、不適切な人物に顧客情報を見せるのは危険ですし、不適切な人物が重要な情報資源を改善したら大変な事になります。そうした事から、情報資源を操作する人物を認証するシステムをよく考えなくてはならないのです。
システムをクラッキングする方法は星の数ほどありますが、その中で大きな比重を占めているのが、権限がある人物になります行為です。情報システムに侵入する事に成功したクラッカーやウイルスは、権限を昇格するのが基本です。権限の昇格とは、システムの不備をついて、自信が持つ権限を強くする行為の事を指しています。また、ソーシャルエンジニアリングの技法を使い、より強い権限を取得する行為もあり得ます。
こうしたクラッキングの脅威に対処するためには、認証システムを情報技術と組織体制の両方の観点から考えます。情報技術側の対処としては、パスワードが基本ですが、アイリスや指紋などを使った生体認証もあります。組織的対策は、電話の主や訪問者をよく確かめる手順の決定と訓練をするのが基本です。
この様に色々な対策方法があり、基本的な物でもそれなりの効果があるのですが、基本とはいえ実施は大変です。具体的には、パスワードの管理方法をどうするのか、パスワードを変更はどうするのか、掃除婦やアルバイトの人まで訓練するにはどうすればいいのか・・・など色々な課題が生じます。
しかしながら、現代は情報資源が重視される時代ですので、認証方法を考えなくてはなりません。認証方法をおろそかにすると、他のセキュリティ対策を実施しても無駄になってしまいます。大変ですが避けては通れないのです。
アクセス方法を定めた後は、認証について考える必要があります。情報資産は適切な人物以外に、不適切な操作させてはなりません。例えば、不適切な人物に顧客情報を見せるのは危険ですし、不適切な人物が重要な情報資源を改善したら大変な事になります。そうした事から、情報資源を操作する人物を認証するシステムをよく考えなくてはならないのです。
システムをクラッキングする方法は星の数ほどありますが、その中で大きな比重を占めているのが、権限がある人物になります行為です。情報システムに侵入する事に成功したクラッカーやウイルスは、権限を昇格するのが基本です。権限の昇格とは、システムの不備をついて、自信が持つ権限を強くする行為の事を指しています。また、ソーシャルエンジニアリングの技法を使い、より強い権限を取得する行為もあり得ます。
こうしたクラッキングの脅威に対処するためには、認証システムを情報技術と組織体制の両方の観点から考えます。情報技術側の対処としては、パスワードが基本ですが、アイリスや指紋などを使った生体認証もあります。組織的対策は、電話の主や訪問者をよく確かめる手順の決定と訓練をするのが基本です。
この様に色々な対策方法があり、基本的な物でもそれなりの効果があるのですが、基本とはいえ実施は大変です。具体的には、パスワードの管理方法をどうするのか、パスワードを変更はどうするのか、掃除婦やアルバイトの人まで訓練するにはどうすればいいのか・・・など色々な課題が生じます。
しかしながら、現代は情報資源が重視される時代ですので、認証方法を考えなくてはなりません。認証方法をおろそかにすると、他のセキュリティ対策を実施しても無駄になってしまいます。大変ですが避けては通れないのです。
スポンサーサイト
