情報セキュリティの考え方 仮想編

ＨＤＤを暗号化して管理しようかな？　とおもいつつ、セキュリティについて情報を収集し、それをまとめた覚書です。


情報セキュリティには仮想（i）と現実(ii)の二種類あると思っています。


仮想については言うまでもなく、ネットワークを介してやり取りされる情報データです。

セキュリティに対してＩＰＡは「セキュリティ支援ツールポータル」というのを公開しています。

使ったことはないですが。

情報セキュリティもISO１４００１の要求事項に基づいてセキュリティ体制を構築することは可能です。

私の所属する会社はISO14001の他にISO9001及びISMSを構築し運営されていますが、ハッキリ言って構築されて認証登録されたISMSは、ISO14001の要求事項を満たしているとは言えない状況です。その辺りの事情もあるので今回の記事ですがｗ

仮想と現実と区分しましたが、そこからさらに分離させると、盗聴(a)と盗難(b)があります。
そして、そこから差に分割すると、ISO的に言う所の予防(1)と緩和(2)となると考えられます。

つまり、仮想と現実にそれぞれ４系統８項目に対してアプローチが必要となります。

今回はこの８項目に対してどのような対策があるか？を考えていくのが主題となります。


予防と緩和、簡単に言えば「盗まれないようにする」「盗聴されないようにする」 のと「盗まれた場合」「盗聴された場合」という、単純なものです。

(i.a-b)情報における「盗まれないようにする、盗聴されないようにする」は、セキュリティソフトをインストールするのが一つの方法です。

ウイルスチェックは「盗難防止(i.b.1)」に該当し、ファイアーウォールは「盗聴防止(i.a.1)」に該当すると思っています。


本項目については、盗難や盗聴については、警察のサイバー舞台も活躍しているダイダロスにも期待したいところです。

ダイダロス

これはあくまで「予防(1)」に該当する部分で、次に対策が必要なのは「緩和(2)」です。 メールなどでの誤送信し、情報流出するようなケースが考えられ、添付メールには圧縮し、書庫ファイルにして、その書庫ファイルにはパスワードを設定するなど、流出しても「閲覧できない」状況を設定するなどのルール化がなされています。 このあたり、自動で実施してくれるメールZipperというサービスもあります。

 

Outlookユーザーなら「OMail」という自動化ソフト（フリー）があり、送信後のメールサーバー内でファイルをパスワード付きZIP化するサービスなどで対応することが出来るようです。

TunderBirdの場合、「Auto Compress File」 がありますが、どうやらこちらは圧縮には対応していますがパスワードはかけてくれない模様です。調べたところ、過去には存在したのですが、ヴァージョンアップに伴いされなくなったのという悲しい状況があるようです。改めて出てくれれば、非常に有益なんですよねぇ。

パスワードをかける行為を分類として盗難(1)とします。 次に、盗聴(2)として、自分以外の人間が自分のパソコンを操作された場合の対策です。 メールソフト起動時にパスワードを掛けるアドオン「ProfilePassword」（ThunderBird)

などもあり、離籍時にメールや送信済みトレイのデータを盗み見られる行為に対しては有効でしょう。 ＦｉｒｅＦｏｘには、マスターパスワード機能がありますので、こちらを設定することでブラウザが覚えたパスワードにロックをかけることが可能です。 スクリーンセイバーやモニタの電源が切れた後、復帰時に再ログインするように設定するのも有効な手でしょう。 オンライン銀行なんかでは、ワンタイムキーを設定することで、不正ログインが行われたとしても勝手な振込みなどはできない状況などがあります。これも一つの有効な手段だと思います。 他には地味ですが、フォルダやファイルの属性を「隠し」に設定する方法もあります。（プロパティから）

ここまでが仮想(i)で、次が現実(ii)です。本日はこれで疲れましたのでおしまいで、現実は次回に続くということで。