製品

株式会社ソルパック>>製品>>Power Systems>>Bsafe Enterprise Security>>セキュリティとは

メニュー
Bsafe Enterprise Security
セキュリティ
デモの申し込み
詳しい流れ・手順はこちら
申し込みはこちら
  • looksoftware
  • SAP
  • BPO
  • Tivoli

キーワード

今、話題の情報セキュリティ問題とは?

日本版SOX法の実施を2008年に控え、積極的に対策をする必要性が出てきました。
日本版SOX法は、「エンロン事件など相次ぐ会計不祥事を防止するためにできた米国の サーベンス・オクスリー法(SOX法)」に倣って整備された日本の法規制のことを言います。 財務報告の信頼性、業務の有効性、法令等の遵守、資産の保全の4つの目的を実現するために、 統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応と いった6つの要素において対策を講じることが求められています。
特にITへの対応は、他の要素を実現する基盤として、重要視されています。

少し前まで騒がれていた個人情報流出などの情報セキュリティに関連する不祥事への対策も 依然として重要な課題です。ひとたび、企業が情報セキュリティに関わる問題を起こせば、 企業の大きなイメージダウン、利益損失につながります。

企業はこれらに対応するためにも情報セキュリティへの取り組みが必要不可欠になってきています。

情報漏洩問題、個人情報保護法、SOX法への対応策としてIDS,IPSを紹介した図です。

IDSとIPSの簡単な説明

IDSやIPSは、情報セキュリティにおいて、重要な機能です。IDS(侵入検知システム)とIPS(侵入防止システム)に関して、図を用いてわかりやすく、簡単に説明します。
IDS,IPSをわかりやすく説明するためのイメージ図です。

情報セキュリティ問題は内部の犯行が80%

セキュリティ被害の原因は①外部からの不正アクセス②内部からの不正アクセス、不正操作の2つに大きく 分けることができます。

近年ではセキュリティ被害の原因のうち、80%は②の内部犯行によるものだ という報告が出ています。(出展:CSI/FBI Computer Crime and Security Survey)
内部の不正行為や不正操作への対策が重要なポイントとなってきます。

一般的セキュリティ対策

情報セキュリティポリシーからIDS、IPSまでセキュリティの一般的な対策方法を説明した図です。

語句の説明

日本版SOX法とは

米国政府が企業の会計不祥事に対して制定した企業改革のための法律で、 日本版SOX法も2008年月4月から実施されることが決まりました。適正な財務情報を保持させることが目的です。 現実には財務とITシステムが結びついている企業がほとんどなので、ITシステムの対策が重要なポイントになります。
日本版SOX法の草案の中では、正しい情報を確実に伝達し、不正を防止するためにITを利用することを提言しています。 対策において情報セキュリティ対策も必要となります。
また日本版SOX法のキーワードは「内部統制=組織内でルールや行動規範を設け、それに則って行動を規制すること」です。 これを実行する際に、セキュリティで行っている監視と制御が有効な手段となります。

情報セキュリティポリシーとは

組織の中にある情報資産を、安全に運用するための基本方針、 もしくは基本方針から実際の運用手順までを文書化したものです。内部犯行、内部ミスによる情報セキュリティ問題の増加に 伴い、ユーザー1人1人がセキュリティ意識を向上させ、組織的なセキュリティ対策を実施するために作成されます。
「情報セキュリティポリシーを持つこと」と「セキュリティ対策をしっかり行うこと」は一致しません。
情報セキュリティポリシーを持ち、実際に運用することが重要です。

ファイアウォールとは

組織内外のネットワークからのデータを監査し、あらかじめ定義してあるルールに したがってデータをフィルタリングすることで不正アクセスをある程度防止すること目的としたものです。 現在ではルータなどのハードウェアに組み込まれている場合がほとんどです。
すべての不正アクセスの防止に対して万能なわけではありません。

アンチウイルスソフトとは

アンチウイルスソフトウェアとは、コンピュータがウイルスに感染していないか検査し、 感染していればウイルスを駆除して、感染する前の状態に回復させるアプリケーションのことです。
ウイルス対策ソフトウェアは、既に知られている各種ウイルスのパターンを記録したウイルス定義ファイルを持ち、 このファイルとハードディスク上にある検査対象のファイルを比較して、ウイルスが存在しないかをチェックします。
このほか、ディスクにファイルが書き込まれる時点で検出したり、メールを受信する際にメールを検査したり、 さまざまな場面でウイルスの検出を行います。

IDSとは

Intrusion Detection Systemの略で日本語では、侵入検知システムと呼ばれています。
不正行為の検出と通知するためのシステムです。不正行為とは、外部からのアクセスに限らず、内部の者の不正行為を検知する ことも可能です。既知の侵入手口を使った攻撃の検出(不正検出)と通常とは異なる振る舞いを検出(異常検出)することが でき、不正を検出した場合は電子メールなどで警告します。対応策は人間が行います。
IDSでは、ファイアウォールではとらえることのできないネットワークに対する攻撃を認識することができます。
ファイアウォールやアンチウイルスソフトに比べ、認知度は低いですが、効果は高いと考えられています。

IPSとは

Intrusion Prevention Systemの略で日本語では、侵入防止システムと呼ばれています。
不正行為の検出し、対応策により不正行為を防止するためのシステムである。IDSに防御機能を付加したものであり、 IDSが不正行為を検知するのみに対して、IPSは対応策を講じてくれます。対応策を人間が行う必要がありません。
ただし、IPSだけで全ての不正行為を防いでくれる訳でなく、IDSとIPSは両者を併用することで、 最も高い効果を発揮すると考えられます。
ファイアウォールやアンチウイルスソフトに比べ、認知度は低いですが、効果は高いと考えられます。

ユーザーのアクセス制御とは

ここでは①ユーザー認証、②ユーザー権限、③ユーザーのパスワード等の情報管理のこととします。
具体的には①重要な情報へのアクセスの際にユーザー名とパスワードでユーザー認証を行ったり、②サーバーやデータベース、 アプリケーションなどへのユーザーのアクセス権や操作権を制限したり、管理すること、③ユーザー名とパスワードの管理など です。
内部からの不正行為や不正操作を防ぐために、非常に有効な手段ですが、管理業務を煩雑なため、現実にはおろそかにされる ことが多いようです。

お問い合わせ

  • 製品についてお問い合わせ
  • 製品について資料請求
  • 製品のデモのお申込み

このページの上部へ