統計と情報処理 第05回 情報セキュリティ

1

統計と情報処理 第05回 情報セキュリティ

大久保誠也 静岡県立大学経営情報学部

2/48

はじめに

 はじめに

 技術で守れるもの・守れないもの

 人的なセキュリティとは

 セキュリティ的な脅威の代表例

 セキュリティポリシー、セキュリティ対策基準

3/48

技術で守れるもの 守れないもの

4/48

Alice

Bob

通信関係技術で守れるもの

(1)

盗聴防止 改ざん防止

なりすまし 防止 守れる部分

 情報通信技術で、通信関係は守れる。

Alice 5/48

Bob

通信関係技術で守れるもの(2)

盗聴防止 改ざん防止

なりすまし 防止 守れる部分

範疇外

範疇外

 情報通信技術では、「人に関するセキュリティ」や「計 算機管理そのもの」は、フォローしていない。

6/48

セキュリティ的な事故のニュース

 Googleで「情報流出 原因」で検索してみよう。

 ニュースになる多くの事件は、「人」が「問題になる行 動」を起こした結果、生じてしまうことも多い。

7/48

セキュリティの重要性

 どんなに技術がすぐれていても、それを扱っているの は、あくまでも「人」。

 「人」は、最大のセキュリティホールになりうる。

 セキュリティパッチの当て忘れ

 情報のずさんな管理

セキュリティを維持するためには、

技術だけではなく、運用等も大事

8/48

脅威とは

 情報セキュリティを脅かすものを「脅威」と言 います。

 この世の中には、多くの「脅威」が存在してい ます。

 「どうやって備えるのか」を決めるには、「何 を脅威と認識するか」が重要です。

種々の脅威は来週以降にやります

9/48

復習：

パソコンの故障

データのバックアップや、計算機の冗長化等で 被害を防止できます。

故障や災害は、どうしても発生してしまいます パソコンから異音が！

火山が噴火して、

計算機が燃えた！

10/48

復習：

パソコンの盗難

あれ？ パソコンがない

しめしめ、

上手く盗めたぞ

重要な情報は持ち出さない。

持ち出したら目を離さない。

 パソコンを外に持ち出て、物理的に盗まれることも 例：車上荒らし

 パソコンは持ち出し禁止にする会社も。

11/48

例：物品の廃棄

ゴミから情報 もういらないや 入手！

情報はきちんと削除する

 物品を捨てるときは、その中に「重要な情報」が含まれていない かに注意する。

 ハードディスク等は、OSの機能で削除していても、データを復元 できることも。

12/48

情報を守るための方策

13/48

情報セキュリティポリシー

 組織におけるセキュリティ対策を実施するため、

「基本的なセキュリティ方針」を明確にしたもの。

 関連文章は次の3つ：

 情報セキュリティ基本方針

 情報セキュリティ対策基準

 情報セキュリティ実施手順

セキュリティ ポリシー

14/48

個々の文章

 情報セキュリティ基本方針：

 情報セキュリティに対する、基本的な立場（目的）

や、用語の定義、文章構成等を示す。

 情報セキュリティ対策基準：

 基本方針の目的を達成するために、「何を守るの か」「どのような組織体制で臨むのか」「どのぐら い守るのか」の基準を示す。

 情報セキュリティ実施手順：

 具体的にどのように行動するかを示す。

15/48

情報セキュリティの評価

 実施する際には、

 何を守るべきなのか

 どのぐらいの強さで守るのか

 どのぐらいコストとリスクがあるのか

を評価する必要があります。

書類？個人情報？

紙？ハードディスク？

部屋に施錠すれば大丈夫？ 金庫に入れる？

漏れた場合の影響は？ 日常的に運用できる体制か？

特に守らなければならないものはどれか？

16/48

情報資産と情報の分類

 情報資産：

 守るべきターゲット

 「情報そのもの」や「情報を含んだ物体」も含まれてい る。つまり、「紙」も情報資産になりうる。

 情報資産は、重要性に応じてランク付けされる。

たとえば、「公開情報」「社外秘情報」「機密情報」等。

17/48

県大の情報セキュリティポリシー

18/48

県大の情報セキュリティポリシー

 情報セキュリティ基本方針：

策定済み

 情報セキュリティ対策基準：

策定済み

 情報セキュリティ実施手順：

対策基準策定後に作成する(?)

19/48

ファイルのダウンロード(1)

 県大のTOPページにアクセスし、左側のメ ニューにある［法人情報］をクリックする。

20/48

ファイルのダウンロード(2)

 上から9番目の項目［法人情報］の一番最後に ある［情報セキュリティ基本方針］をクリック。

 開いたページにある「情報セキュリティ基本方 針」をクリック

21/48

情報セキュリティ基本方針

 第1条 ：文章の位置づけ

 第2条 ：用語の定義

 第3条～第4条 ：適用される人

 第5条 ：何を脅威と見なすか

 第6条～第8条 ：策定、評価、見直しについて

 第9条～第11条 ：他の文章ならびに位置づけ

22/48

 情報セキュリティ基本方針 第9条：

（情報セキュリティ対策基準の策定）

情報セキュリティ対策を実施するために、具 体的な遵守事項及び判断基準等を定める情 報セキュリティ対策基準を策定する。なお、

情報セキュリティ対策基準は、公にすること により法人の業務運営に重大な支障を及ぼ すおそれがあることから非公開とする。

学外に内容を漏らさないこと

対策基準の

取り扱いにおける注意点

23/48

情報セキュリティ実施手順

 対策基準を満たすために、具体的にどのように 行動するかが記載されている。

 記載方法は様々。

 適用される部署毎に文章が違う場合もある。

 対策基準のうち、適用されるものを抜き出し、

 それぞれの基準を満たすための具体的手順を記す。

24/48

おわりに

 情報セキュリティは技術とルールで保たれます。

 技術は日々進歩しています。しかし、それを運用する のは人です。

 人は最大のセキュリティホールです。

 社会では、取扱注意の情報を扱うことが多々あります。

 情報を取り扱う際にはどうしたらよいか、身につけて いってください。