コラムを楽しむ

システム管理に携わる人たちが語る。様々な話題満載のコラムをお届けします。

システム管理者のためのBookCafe vol8 今日の一冊:クラウド時代に備えてもう一度見直したい情報セキュリティ
2011年08月24日 15:47

日々多くの業務を忙しくこなしているシステム管理者の皆様にとって、クラウド化は魅力的な選択肢として映っていらっしゃるのでしょうか?確かに日々の運用は楽になるかもしれませんが、とはいえセキュリティ面でのリスクが大きく、まだまだ一歩を踏み出せない、という方が多いのではないでしょうか?

クラウド化の波が押し寄せている今だからこそ今一度理解を深めたい「情報セキュリティ」ですが、セキュリティ対策といっても実は大きく4つに分かれています。今回は本書を通して、さらっとおさらいしてみたいと思います。

内容紹介

 

86757.jpg

「情シス担当者のための絵で見てわかる情報セキュリティ」

株式会社ラック()

クラウド時代を上手に乗り切る基礎と実践のノウハウがわかる!

 

 

出版社:翔泳社 http://books.shoeisha.co.jp/book/b86757.html

 

TAKU'sReview

 

【セキュリティ対策の4つのアプローチ】

①抑止

脅威発生源である人間を牽制することで脅威の発生を抑えること。倫理、道徳、教育によりやってはいけないということを教えたり、規則、ルール、罰則などを策定して対策を周知し、脅威を起こさせる気を低下させる。

【デメリット】

環境的脅威や、人的脅威のうち過失によるものには効果がない。また、抑止は受け取り手によって効果がまちまちで、抑止だけでリスクを低減したつもりになってしまうと危険。

 

②予防

脆弱性そのものを減らす対策。アクセスを制限したり、暗号化したりといったものが該当する。

【デメリット】

業務上必要な権限までを制限してしまうと、定常業務が遂行できないリスクがある。このような場合は他の部分の対策でバランスを取り、リスクを低減することが効果的。また、しっかりとしたリスクアセスメントをせずに予防策を施してしまうと、リスクの値を正しく考慮せずに対策を取ってしまい、必要以上にお金を投資してしまったり、投資したつもりが十分にリスクを低減出来ていなかったりということが起こり得る。システムベンダやコンサルタントの言いなりで無駄な投資をしないようにしたい。

 

③検知

脅威が現実に発生した際に、検知するための対策。早く検知出来ればそれだけ被害は小さく抑えられる。ただし、それはあらかじめ対応策が用意されており、それが決められたとおりに実施された場合に限る。

 

④対応

復旧/回復、追跡、見直しなどをさす。せっかく脅威を検知しても何も対応策を取らなければ、攻撃者の気が済むまで攻撃され、被害は最大化してしまう。そうならぬよう、追跡調査、原因究明、再発防止策の実施などが必要となる。


---------------------------------------------------------

本書によれば、日本では上記の4つの対策のうち、「予防」に重きをおきすぎ、その他の対策を過小評価する傾向があるそうです。確かに抑止、検知、対応策は、それ自体は脅威の発生を防止することは出来ません。しかし、日々変化する脅威を前に、脆弱性を完全に取り除くのは不可能で、予防策には必ず限界があります。

今後のクラウド化もにらんでセキュリティ対策を見直されるときは、是非「抑止」「予防」「検知」「対応」の4つの切り口を活用してみてください。

また、「DBはどこまで監視すればいいの?」「OSの監視はどこまで必要なの?」と具体的な策を求められている方は、本書の後半部分を参考にしてみてください。


システム管理者のためのBookCafe

アナログで行きましょう。
毎日端末画面と向き合っているシステム管理者の方に、たまにはアナログな時間を持ってみませんか? できれば携帯も少し離れたところに置いて…

これからの自分や今まで知らなかった世界・人に出会う入り口になるかもしれません。

記事一覧へ
筆者紹介

"システム管理者のためのBookCafe" レビュアーのご紹介

●システム管理者の会 推進メンバー

システム管理者の会の企画・運営をする推進メンバ―が、会員の皆様にお奨めする本をご紹介してまいります。

この本を読んだことがある方、読まれた方のご感想もお待ちしております!(⇒ぜひ、コメント欄にコメントをお寄せください☆)

コメントを書く
コメントを書く

未ログイン: ログインする

コメント: ログイン(会員登録)すると、コメントを書き込むことができます。

  • 新着Q&A
  • 最新の回答

システム管理者認定講座<全コース共通>試験のみ受験希望の方はこちら

動画で見るセミナー
動画で見るセミナー

こちらは、システム管理者認定講座の認定試験の受験のみ希望される方の申込みページです。 システム管理者認定講座のアソシエイト(初級)、バチェラー(中級)、マスタ

個人情報保護方針
運営者につい て
利用規約
サイトマップ