セキュリティ 対策

雑学

セキュリティのしくみ「適切な人にだけ権限を与える」

アクセスしてよいのは誰か? 同じ会社内であっても、ファイルやデータベース、ネットワークなどに誰もがアクセスできてよいものではありません。 このため、特定の人に限定してアクセスできる権利を付与します。これをアクセス権と呼び、利用者単位や部署単位などで設定することが一般的です。 特定の個人を識***
雑学

セキュリティのしくみ「コスト・利便性・安全性の考え方」

安全性はコストや利便性と引き換え 企業でセキュリティに取り組むとき、「どこまで対応すればよいのかわからない」という問題があります。その背景には、実施する対策が組織によって異なるため、その内容のレベルや費用に対する目安となるものがないことが挙げられます。 例えば、不正アクセスによる情報***
雑学

セキュリティのしくみ「三要素(CIA)以外の特性」

セキュリティの追加要素 JIS Q 27000おける情報セキュリティの定義では、三要素に加えて「真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある」という注記が書かれています。 正しく記録し、確認できるようにする 作成された資料が第三者によるなりすましによっ***
雑学

セキュリティのしくみ「セキュリティの三要素」

情報セキュリティのCIA(三要素) 情報セキュリティマネジメントシステム(ISMS)に関する国際規格の日本語版である』SQ27000では、「情報セキュリティ」を「情報の機密性(Confidentiality)、完全性(Integrity)及び可用性(Availability)を維持すること」と定義***
雑学

セキュリティのしくみ「内部不正が起きる理由」

内部不正が起きる理由 ①データの保存場所を知っている ②データへのアクセス権限を持っている ③データの価値を理解している 従業員による内部不正の危険性 情報漏えいの原因の1つである、従業員による内部不正については、法律やルールを整備しても従業員の意識を変えないと防ぐことはで***
雑学

セキュリティのしくみ「脅威の分類」

人が原因となる「人的脅威」 人によって発生する脅威のことを人的脅威と呼びます。人的脅威はさらに意図的な脅威と偶発的な脅威に分けられます。 意図的な脅威としては、機密情報を持ち出す「不正持出し」や、情報の盗み見、ソーシャルエンジニアリングなどが該当します。 偶発的な脅威と***
雑学

セキュリティのしくみ「必要な考え方」

保護するものは「情報資産」 攻撃者の目的を理解できたところで、次は何を保護するかを考えてみましょう。会社などの組織を運営していくためには、「ヒト」「モノ」「カネ」に加えて「情報」も必要です。 例えば、企業で取り扱う情報には、顧客情報や従業員の個人情報、設計書や会計情報などがあり、これ***