システム管理者のためのBookCafe

Vol.8 今日の一冊:クラウド時代に備えてもう一度見直したい情報セキュリティ

概要

書籍のインク独特の香りを感じながら、出会ったことのない世界、新たな発見、体験してみませんか?

目次
内容紹介
TAKU’s Review

日々多くの業務を忙しくこなしているシステム管理者の皆様にとって、クラウド化は魅力的な選択肢として映っていらっしゃるのでしょうか?確かに日々の運用は楽になるかもしれませんが、とはいえセキュリティ面でのリスクが大きく、まだまだ一歩を踏み出せない、という方が多いのではないでしょうか?

クラウド化の波が押し寄せている今だからこそ今一度理解を深めたい「情報セキュリティ」ですが、セキュリティ対策といっても実は大きく4つに分かれています。今回は本書を通して、さらっとおさらいしてみたいと思います。

 

内容紹介

 

「情シス担当者のための絵で見てわかる情報セキュリティ」

株式会社ラック(著)

クラウド時代を上手に乗り切る基礎と実践のノウハウがわかる!

出版社:翔泳社 http://books.shoeisha.co.jp/book/b86757.html

 

TAKU’s Review

【セキュリティ対策の4つのアプローチ】

①抑止

脅威発生源である人間を牽制することで脅威の発生を抑えること。倫理、道徳、教育によりやってはいけないということを教えたり、規則、ルール、罰則などを策定して対策を周知し、脅威を起こさせる気を低下させる。

【デメリット】

環境的脅威や、人的脅威のうち過失によるものには効果がない。また、抑止は受け取り手によって効果がまちまちで、抑止だけでリスクを低減したつもりになってしまうと危険。

 

②予防

脆弱性そのものを減らす対策。アクセスを制限したり、暗号化したりといったものが該当する。

【デメリット】

業務上必要な権限までを制限してしまうと、定常業務が遂行できないリスクがある。このような場合は他の部分の対策でバランスを取り、リスクを低減することが効果的。また、しっかりとしたリスクアセスメントをせずに予防策を施してしまうと、リスクの値を正しく考慮せずに対策を取ってしまい、必要以上にお金を投資してしまったり、投資したつもりが十分にリスクを低減出来ていなかったりということが起こり得る。システムベンダやコンサルタントの言いなりで無駄な投資をしないようにしたい。

 

③検知

脅威が現実に発生した際に、検知するための対策。早く検知出来ればそれだけ被害は小さく抑えられる。ただし、それはあらかじめ対応策が用意されており、それが決められたとおりに実施された場合に限る。

 

④対応

復旧/回復、追跡、見直しなどをさす。せっかく脅威を検知しても何も対応策を取らなければ、攻撃者の気が済むまで攻撃され、被害は最大化してしまう。そうならぬよう、追跡調査、原因究明、再発防止策の実施などが必要となる。

 

————————————————————————————————————

本書によれば、日本では上記の4つの対策のうち、「予防」に重きをおきすぎ、その他の対策を過小評価する傾向があるそうです。確かに抑止、検知、対応策は、それ自体は脅威の発生を防止することは出来ません。しかし、日々変化する脅威を前に、脆弱性を完全に取り除くのは不可能で、予防策には必ず限界があります。

今後のクラウド化もにらんでセキュリティ対策を見直されるときは、是非「抑止」「予防」「検知」「対応」の4つの切り口を活用してみてください。

また、「DBはどこまで監視すればいいの?」「OSの監視はどこまで必要なの?」と具体的な策を求められている方は、本書の後半部分を参考にしてみてください。

連載一覧

コメント

筆者紹介

“システム管理者のためのBookCafe” レビュアーのご紹介
●システム管理者の会 推進メンバー
システム管理者の会の企画・運営をする推進メンバ―が、会員の皆様にお奨めする本をご紹介してまいります。

この本を読んだことがある方、読まれた方のご感想もお待ちしております!(⇒ぜひ、コメント欄にコメントをお寄せください☆)

バックナンバー