セキュリティ管理

■セキュリティポリシー

1. セキュリティに関する方針や対策基準を策定する。
2. セキュリティの対象や範囲、体制（責任者・担当者）を明確にする。
3. セキュリティのリスク分析を行い、対策基準を立てる。

■セキュリティリスク

1. 信用失墜
2. 損害賠償
3. リカバリコスト
4. 顧客離れ
5. 収益低下
6. 競争力低下
7. セキュリティ増強対策コスト

■情報セキュリティにおける脅威

1. コンピュータウィルス
2. スパイウェア
3. フィッシング詐欺
4. ワンクリック詐欺
5. ボット
6. スパムメール
7. SQLインジェクション
8. ワーム
9. トロイの木馬
10. DoS攻撃
11. DDoS攻撃
12. パスワードクラッキング
13. 不正アクセス
14. ブルートフォース攻撃
15. ポートスキャン
16. マクロウィルス
17. ウォードライビング
18. バッファオーバーフロー攻撃
19. セキュリティホール
20. クロスサイトスクリプティング
21. バックドア侵入

■セキュリティ対策の種類

1. 施設・機器の施錠等の物理的な対策
2. 暗号化・アクセス制御等の技術的な対策
3. 規約・教育等の運用管理上の対策

■セキュリティの物理的な対策

1. 施設は施錠し、入退室が可能な人物を制限する。入退室するときは、入室の日時、所属、氏名、入室目的、作業内容、退室の日時等の記録を取る。
2. PC･携帯電話･デジタルカメラ･記憶媒体(FD･CD･DVD･USBメモリ)･紙媒体等の持ち込みや持ち出しを禁止する。特例にするときは、日時、所属、氏名、目的、物品名称等の記録を取る。
3. PC･機器に施錠する。
4. 室内や机上は整理整頓し、重要な書類や記憶媒体を放置しない。
5. PCや記憶媒体を廃棄するときは、情報を完全消去する。重要書類はシュレッダーにかける。

■セキュリティの技術的な対策

1. PC･ネットワーク･データベース等へのアクセス制限をかけると共に、アクセスログを記録しておく。
2. ウィルス対策ソフトを導入し、適切な設定を行う。また、定期的にウィルス定義ファイルの更新を行う。
3. ファイアウォールを導入し、適切な設定を行う。
4. IDS(Intrusion Detection System)を導入し、適切な設定を行う。
5. OSやミドルウェアのセキュリティパッチを当てる（セキュリティホールの解消）。
6. データは、暗号化してから、受け渡しする。
7. インターネット上でパスワード等の重要情報を入力させる時はSSLを使って暗号化する。
8. WebアプリケーションではSQLインジェクション対策等を施す。
9. PCやサーバ、ネットワーク機器等はデフォルトで使用せずに、不要なサービスを停止する等の使用条件に合った設定を行ってから使用する。
10. メールは送受信共に保存管理する。

■セキュリティの組織的な対策

1. 組織員と機密保護の契約を結ぶ。
2. セキュリティポリシーを周知徹底する。
3. セキュリティに関する規則(罰則規定も含む)を整備し、組織の規定に盛り込む。
4. セキュリティに関する各人の役割と責任を明確にし、周知徹底する。
5. セキュリティに関する禁止事項と許可事項を明確にし、周知徹底する。
6. セキュリティやコンプライアンスに関する教育を定期的に実施する。
7. 退職者や異動者のアカウントはすぐに停止し、利用不可にする。
8. 退職者や異動者のPCは初期化する(ディスクシュレッダーをかける)。
9. IDやパスワードは他人に教えない、聞かれても答えないように意識づける。
10. パスワードは定期的に変更するような運用にする。
11. プリンターに出力した書類を放置しないように意識づける。
12. 組織外の人間がいるような場所で、業務上の話をしたり、書類を広げたりしない。
13. 情報漏洩した時の報告や対応方法を明確にし、定期的に訓練を行っておく。

続く

---

位置：　トップ　>　システム管理　>　セキュリティ管理
通読：　前頁　|　次頁