3-1-1 人的セキュリティ対策

人的セキュリティ対策では、情報セキュリティの重要性や対策の方針を組織全体に浸透させていくことが大切。

■組織における内部不正対策

1.資産管理
それぞれの情報にアクセス権を指定し、アクセス管理を行う。また、機密情報には秘密指定を行い、外部に漏洩しないように管理する。
IT資産管理ツールの使用が有効。
pcなどの機器にインストールされているアプリが最新か一括チェックできる。

2.情報機器や記憶媒体の持込、持込管理
持出の承認や、記録等の管理を行う。
個人の情報機器や記憶媒体の業務利用や持込は制限する。持ち出すとき情報を暗号化する。

3.業務委託時の確認
業務委託をする場合には、セキュリティ対策を事前に確認・合意してから契約し、委託先が契約通りに情報セキュリティ対策を実施せているか定期的に確認する必要がある。

4.証拠確保
アクセス履歴や操作履歴のログ・証跡を残す。システム管理者のログ・証跡もきちんと残し、システム管理者以外の者が定期的に確認する必要がある。

5.雇用終了時の手続き
雇用終了時に、必要に応じて秘密保持義務を課す誓約書の提出を求めるなど退職後の重要情報漏洩等の不正行為が発生しないようにする必要がある。

6.適正な労働環境及びコミュニケーション推進
労働環境が悪く、コミュニケーションが十分に図れていないとストレスがたまり、内部不正が発生する恐れが高くなる。

7.相互監視
相互監視できない環境での仕事を制限する。
具体的には休日や深夜などの単独での作業制限

■情報セキュリティ啓発
1.教育
派遣従業員や取締役など全関係者。
2.訓練
標的型攻撃メール訓練
実際のサイバー攻撃に近いかたちで擬似的なサイバー攻撃を行うレッドチーム演習がある。
3.資料配布
4.メディア活用
動画やソーシャルメディア、eラーニングなど様々なコンテンツを活用し、啓発を行う。

■パスワード管理
1.質の良いパスワード
2.同じパスワードを使い回さない
3.組合せでパスワードを管理する
アプリ＋紙など複数の組合せでパスワード管理
4.パスワードをPCに保管しない

■利用者のアクセス管理
1.need to know 最小限の原則
必要最小限のアクセス権を与え、業務に必要のない情報は見せないようにする必要がある。

2.責務の分離
責務の分離を行う。
業務を実行する従業員には、操作権限
上司には承認権限を与え、操作権限を与えない

3.1人1アカウントの原則
利用者のアクセス管理では、利用者1人1人を識別できるようにすることが必要
アカウントの共用や貸与は禁止。

4.特権アカウント管理
システムを変更することができるアクセス権を特権的アクセス権という。

5.速やかな削除・変更
ロールを用いてアクセス制御を行うなど、アカウントの変更管理を速やかに行う仕組みを構築することが大切

■ログ管理と監視
利用者のアクセスについては、ログ管理を行い、アクセスログを保管して、誰がいつアクセスしたのかを正確に管理する必要がある。
ログ管理では、ログを監視していることを周知するだけで、内部不正の抑止効果がある。

■ファイル属性の設定
ファイルには、属性情報としてアクセス権を設定することが可能。通常は、読取り、書込み、実行の3種類。