管理者向けセキュリティ対策

ネットワークの管理者は、各セキュリティ関連サイトで公表されているセキュリティやウィルス情報を確認し、常に最新のプログラムを導入しておきましょう。
セキュリティホールが見つかった場合は、早急にパッチを当てる、又はバージョンアップ等の適切な措置を取ることが大切です。
また、通常時のシステム稼働状況を把握し、定期的なバックアップや点検を行い、システムが攻撃されても容易に復旧できる体制を整えておきましょう。

不正アクセス禁止法によると、アクセス管理者が各企業や団体の内部システムに対してアクセスすることを許諾した者（以下「利用権者」という）に付与する識別符号（ID・パスワード）は、他の利用権者と区別して識別することができるように付されたものでなければならないと定められています。

情報セキュリティポリシーとは、どのような情報資産をどのような脅威からどのようにして守るかについての基本的な考え方、並びに情報セキュリティを確保するための体制、組織及び運用を含めた規定です。
パソコンや情報通信網の普及に伴って、インターネットは誰でも自由に接続できる環境となってきましたが、各企業や団体の活動も情報化、ネットワーク化の進展なしには考えられないのが現状です。
しかし、コンピュータ技術を悪用した情報システムへの侵入をはじめ、コンピュータウィルス対策や内部からの情報漏洩など、情報セキュリティに関する危険性は高まっています。
侵入した企業・組織の従業員になりすましてパスワードを聞き出したり、廃棄された紙ゴミから企業・組織に関する重要情報を取得するなどの「ソーシャルエンジニアリング」の被害対策も欠かせません。

「こちらはXX（プロバイダ名）のシステム管理者ですが、システム障害のため、アクセス不能となっております。大変恐縮ですが、あなたのパスワードをお教え願えませんでしょうか。」等という電話により、パスワードを獲得する方法。
あるいは、正当ユーザとして偽ってプロバイダ等へパスワードを照会したり、再発行の手続を依頼する、更には巧みな話術により、電話会社やネットワーク・プロバイダのオフィスに電話をかけ、内部の関係者のように装って担当者等から機密情報を聞き出す。
これらを回避するため各企業とも情報セキュリティポリシーを策定することは不可欠です。策定にあたっては、

1. 組織・体制を確立し、その組織・体制の下で
2. 基本方針の策定
3. リスク分析及び
4. 対策基準の策定を行い
5. 明文化して正式に定める必要があります。

ここ数年、企業の個人情報流出事件が多発していますが、原因は管理者の設定ミスだけでなく、情報の保存されているパソコンの紛失・盗難や、内部の人間が情報を持ち出す場合も少なくありません。
これらのケースを想定して、情報セキュリティポリシーの中で具体的に

• 重要データを保管している部屋の出入りチェックを厳重に管理する
• 重要データはパソコンの内部に保存しない
• 重要データのコピーは管理者の許可を得る
• ポリシー違反の場合の罰則を設ける

などの項目を盛り込んでおくべきでしょう。
策定後は、ポリシーを関係者に周知させた上、確実に運用していくために組織・体制の確立、監視、侵入時の対応等の措置を適切に行う必要があります。
誰か一人でもセキュリティに対する認識が低く協力が得られなければ、どんな高価なシステムを構築しても、人がセキュリティホールとなりかねません。
また、ポリシーや情報セキュリティ対策の評価、情報システムの変更、新たな脅威等を踏まえ、定期的に対策基準の評価・見直しを行うことも重要です。

各企業や団体においても、貴重な情報資産が壊れたり、消滅する場合に備え、定期的なバックアップが必要となります。
万が一の事態を想定し、ミラーリングやデュープレキシングなどを活用した情報資産の復旧に備えることが大切です。
システム障害が発生した場合のコンティンジェンシープラン（不測事態対応計画）を立て、

1. 緊急（災害）時対応計画
2. バックアップ計画
3. 復旧計画

について、具体的に手続き等を明確にしておくと良いでしょう。
サーバ上でのアクセス制御、パケットフィルタリング、ファイアウォール、IDS、ユーザ教育、セキュリティポリシー、等すべてが欠かせないセキュリティ対策となっています。
但し、ファイアウォールはアクセス許可しているサービスに対する攻撃は防御できませんし、IDSは外部からの攻撃の「抑制」、「防止」、「回復」等の機能はありません。これらを踏まえ、適切な対策を施す必要があります。

電話：03-5805-1731
受付時間：平日午前8時30分から午後5時15分まで