1. TOP
  2. 目指せ!電気通信主任技術者
  3. 線路設備及び設備管理 対策ノート「その他の情報セキュリティ対策」

その他の情報セキュリティ対策

2019年6月3日作成,2021年9月1日更新

情報漏洩対策

情報漏洩とは,内部に留めておくべき情報が何らかの原因により外部に漏れてしまうことをいう。主に企業の内部情報についていわれる。

設備の重要情報

線路設備の情報も,内部に留めておくべき情報である。

個人情報

個人情報とは,氏名,住所,メールアドレスなど,それ単体もしくは組み合わせることによって個人を特定できる情報のことである。

個人情報には、官報、職員録などに公表されている情報(本人の氏名など)及び防犯カメラに記録された本人が判別できる映像情報が含まれる。

個人情報取扱事業者が、個人情報を取り扱うに当たっては、その利用目的をできる限り具体的に特定しなければならない。

個人情報取扱事業者が、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

個人情報取扱事業者が、個人データを第三者に提供する場合は、原則として、あらかじめ本人の同意を得なければならない。

アカウント管理

利用者のアクセスを適切に制限するため,利用者が使用するアカウントに対して適切にアカウント管理を行うことが重要である。アカウント管理では,技術的なアカウント制限だけでなく,アカウントの運用管理を適正に行うことが必要となる。

利用者アクセスを管理するときに意識するポイントには,次のようなものがある。

  1. Need-to-know(最小権限)の原則
  2. 1 人 1 アカウントの原則
  3. 責務の分離(各人の業務に必要な最低限の権限を与え,互いにチェックする体制を整えて相互牽制)
  4. 特権アカウント管理
  5. アカウントの変更管理を速やかに行う仕組み

アクセス制御

アクセス制御技術とは,ネットワークにおけるアクセス権限を適切に管理し,アクセスを制御するための技術である。代表的なものに,ファイアウォールと,IDS や IPS などの侵入検知システムがある。

IDS
IDS は Intrusion Detection Sysytem の略称で,不正侵入検知システムとも呼ばれる。インターネットに公開するサービスでは,それに対する通信はファイアウォールで接続許可の扱いとなるため,正常な通信と異常な通信は区別なくアクセスされることになる。そこで,IDS を設置することで,通信を監視し,異常があれば管理者へ通知することで,異常な通信をブロックするなどの対処をするきっかけ(トリガー)となる。
IPS
IPS は Intrusion Prevention System の略称で,不正侵入防止システムと飛ばれる。ISP は,異常な通信があれば,管理者へ通知するだけでなく,その通信をブロックする。したがって,管理者が以上に気づいてから対処するのと異なり,迅速な対応が可能となる。

ログの管理

利用者のアクセスについては,ログ管理を行い,アクセスログを保管して,誰がいつアクセスしたのかを正確に管理する必要がある。ログを取得するだけでなく,ログを監視し,定期的にチェックすることが大切である。

ログ管理では,ログを監視していることを周知するだけで,内部不正の抑止効果がある。ログを監視していることは周知するが,具体的な監視方法は知らせないことが,不正を防止するために最も効果的である。

OS、アプリケーション、通信機器などにおける業務プロセスの実行記録はログといわれ、ログを確認することで装置の稼働状態、処理の実行状態、障害の発生状況などを把握できる。

どのようなログを取得するかはそのログの使用目的を考慮する必要がある。不正アクセスがあったときに、その実行者を特定するためには、一般に、システムを利用した人の ID や操作記録が必要である。また、不正プログラムがシステム設定を変更したことを知るためには、プログラムの動作記録を取得することが有効である。一方、ファイアウォールにはアクセス制御やアクセスに関する履歴を取得する機能があり、IDS には、ネットワークを流れるパケットを監視し、不正アクセスと思われるパケットを発見したときにアラームを表示し、通信記録を保存する機能を持つものがある。しかし、例えばファイアウォールで通信の許可や拒否の履歴をすべて取得するとなると、その量は膨大となるため、どこまでログを取得するかの見極めが重要となる。

セキュリティインシデントが発生した場合、一般に、一つの装置のログだけではなく複数の装置のログを突き合わせて原因究明を行う必要がある。ログを突き合わせるためには各装置の時刻合わせが必須であり、その方法として、世界の各所に存在する NTP サーバから正確な時刻を取り込む、組織内に NTP サーバを構築して組織内の情報システムの時刻合わせを行うなどの方法がある。

ログの保存では,ログの保存場所をそれぞれの装置とするのか,syslog サーバを構築し,ログを一元管理するかなどを決める。また,ログの保存期間がどの程度必要であるかをあらかじめ決めておく。ログの保存には膨大な記憶容量を必要とするため,ログローテーションを行うことも考慮する。

NTP (Network Time Protocol)
NTP とは,TCP/IP ネットワークを通じて現在時刻の情報を送受信するプロトコル(通信規約)の一つ。時刻情報を配信するサーバと時刻合わせを行うクライアント間,およびサーバ間の通信方法を定めている。
syslog
システムの動作状況やメッセージなどの記録をとるプログラム。ネットワークを通じて他のコンピュータとログを送受信する機能。IP ネットワークを通じて他のコンピュータへ時系列の記録(ログ)を伝送する標準プロトコル(通信規約)の一つ。また,そのプロトコルを用い,ネットワークを通じてログを収集・記録するソフトウェア。
ログローテーション(log rotation)
システムが残す時系列の記録データ(ログ)が際限なく増えることを防ぐために,一定の容量や期間ごとに古いログを削除したり新しいログで上書きすること。また,そのような機能。
inserted by FC2 system