情報セキュリティは、情報資産の機密性、完全性、可用性を維持しつつ、物理的セキュリティ、人的セキュリティ、技術的セキュリティに関して対策をする必要がある。
目次
機密性
情報にアクセスすることが認められたものだけが、情報資産へアクセスできる情報を確保すること。
- 企業IPで縛り、そこからのアクセスのみ許可する。
- ログインID/パスワードを用意し、サーバー、またはサイト管理画面へアクセスできるようにする。
- 仮にFTP接続を許可する場合は、特定IPアドレスのみ許可するなどで機密性を担保する。
- 管理画面にIPアドレス制限を設ける。
完全性
情報が破壊、改ざんまたは、消去されてない状態を確保すること。
- ネットワーク上の通信を暗号化する。(SSL)
- アクセスするたびに最新のデータベースを参照し、複数人の操作でも欠損・不具合なく情報が操作できる。
- 更新頻度に応じてバックアップを実施
- アクセスログを取得することでいつ、誰が、何を操作したのか管理する。
可用性
情報にアクセスできることができる者が、必要な時に中断することなく情報にアクセスできる状態を確保すること。
- 権限グループを設けることで、アクセス権限による情報の可用性を実現し、必要な人に必要な情報へアクセスできるようにする。
- ロードバランサーなどを用いて負荷分散を行う。
物理的セキュリティ
サーバー室、情報システム室など、通信回線および使用者のパソコンなどの管理について、物理的な対策のこと。
- 盗難・窃盗の防止
- ハードディスクの暗号化など
- パソコンはワイヤーロックし、外へ持ち出さないようにする。(フリーランスは難しい可能性が高いのでフリーWifiを使用しない、ショルダーハッキング対策、在宅のみ利用などを施す。)
- 使用者のログインパスワードは英数字混合12文字以上。
- パスワードなど機密事項は紙媒体などに管理せず、自身のみがアクセスできる環境で管理。
人的セキュリティ
情報セキュリティに関し、使用者が尊守すべき事項を定め、十分な教育および啓発を行うこと。
- 手順書などルールを設ける。
- 情報管理の研修の実施
- 定期的なパスワードの変更
- 情報の持ち出しルールの徹底
技術的セキュリティ
コンピュータなどの管理、アクセス制御、不正プログラム対策、不正アクセス対策などの技術的対策を行うこと。
- サイトへアクセスするパソコンには、ファイアウォールを有効化および、有料のウイルス対策ソフトを導入する。
- サイトへアクセスするパソコン、ブラウザは常に最新のアップデートを適用する。
- 情報のやりとりはGoogleドライブを活用するが、フォルダ、ファイルはそれぞれアクセスできるユーザーを限定する。
- 利用するGoogleアカウントは、全て2段階認証を設定する。
- ブルートフォース攻撃、リスト攻撃など短期間に大量のログイン試行がされた場合、接続元IPアドレスをブロックする。
- ゼロディ攻撃を防ぐため、重要なセキュリティパッチが発行された場合は、検証の上、早急に対応する。
ほか
技術的にはSQLインジェクションや、XSSなど多岐にわたる対策が必要だと思う。
情報漏洩などは外部からの攻撃はもちろんだが、人為的ミスなどの内部からの脅威も多々ある。
テクノロジーは便利だが、利用者側にもITリテラシーが求められる時代になってきている。
