TOP情報セキュリティ> 完全性と可用性の保護対策
個人情報保護法
常識として知っておきたい個人情報保護法

第5回:コストをかけずにできるセキュリティ対策
著者:日本ヒューレット・パッカード  佐藤 慶浩   2006/7/28
前のページ  1  2  3  4
完全性と可用性の保護対策

   情報セキュリティについての対策が、機密性の観点を重視して語られることには注意が必要だ。これは、この対策が軍用の視点からはじまったという背景による。軍隊の場合、敵国に漏れて困る情報について、漏れるくらいなら消してしまうという選択肢があるからだ。

   しかし企業では、機密情報が消えてしまうことやアクセスできなくなることが致命的であることが比較的多い。つまり企業においては機密性よりも完全性や可用性の方が重要となるのである。

   完全性保護とは、情報に対する不正な書き換えや消去がないようにすることである。可用性保護とは、必要な情報に対するアクセスが妨げられないようにすることである。

   軍隊にとって機密情報が、「C(機密性)≫I(完全性)>A(可用性)」という優先順位であるのに対して、企業における機密情報は、「A≫I>C」という場合も少なくないということだ。そのため企業では、情報セキュリティ対策の教科書を見て参考にする際に、機密性の観点だけに偏重しないように意識する必要がある。

   端的な解決策の1つは、データのバックアップである。企業がバックアップの環境を用意しないと、社員が勝手に自宅のPCやDVDなどの記録媒体などにバックアップをするのでは、機密性も損なわれてしまう。

   また機密性の対策の重要な要素としてデータの暗号化を紹介したが、暗号化には、「暗号鍵」の管理が重要になる。暗号鍵を紛失/消去してしまうことは、すべてのデータを失うことと同じだからだ。

   データの暗号化を社員に義務付ける場合、暗号管理インフラを構築した企業において「会社標準以外の暗号を実施してはならない」という禁止規則を設けることがむしろ重要だ。

   暗号化を個人に管理させた場合、もし悪意を持った社員がいたとすると、データの暗号化は証拠隠蔽などに悪用されることもある「両刃の剣」だということについても注意しておく必要がある。


その他のセキュリティ対策

   現在、多くのモバイルPCにはTPMというセキュリティチップが無償で内蔵されている場合が多い。

   これを使って、今回紹介した対策をさらに強化することもできる。TPMについては、その規格団体であるTrusted Computing GroupのWebサイトを参照するとよい。

Trusted Computing Group: Home
http://www.trustedcomputinggroup.org/


次回は

   今回は、業務で利用するモバイルPCのセキュリティ対策について、無償でできることやソフトウェアについて紹介した。次回は、個人情報のデータベース管理における具体的な対策内容を解説する。

前のページ  1  2  3  4


日本ヒューレット・パッカード株式会社  佐藤 慶浩氏
著者プロフィール
日本ヒューレット・パッカード株式会社   佐藤 慶浩
1990年日本ヒューレット・パッカード(株)入社。OSF/1、OSF/DCE、マルチメディア、高可用性、インターネット技術支援を経て、米国にてセキュリティ製品の仕様開発に携わった後、情報セキュリティのコンサルティングに従事。また、国内初のインターネットバンキングでトラステッドOSを導入、インターネットトレーディングシステムでは性能改善のためユーティリティコンピューティングも設計。2004年からは、個人情報保護対策室長を務める。社外では、ISO/IEC国際標準セキュリティ委員会委員、情報ネットワーク法学会理事等の他、情報セキュリティ対策や個人情報保護についての講演をしている。現在、内閣官房情報セキュリティセンター参事官補佐を併任。
詳細はコチラ。
http://yosihiro.com/profile/


INDEX
第5回:コストをかけずにできるセキュリティ対策
  業務で使用するモバイルPCのセキュリティ
  ドライブロックによるパスワード保護
  OSへのログイン保護
完全性と可用性の保護対策