第11章 情報セキュリティ 11.1 11.2 11.3 11.4 セキュリティ設計 物理的セキュリティ対策 技術的セキュリティ対策 対象別セキュリティ対策と不正 11.4 11.4.1 11.4.2 11.4.3 11.4.4 11.4.5 対象別セキュリティ対策と不正 パーソナルコンピュータ 通信回線 コンピュータ不正 コンピュータ不正アクセス対策 ウィルス対策 11.4.1 パーソナルコンピュータ (1)弱点 ① パソコンそのものの盗難の危険性が高い。 ② パソコンを無断で使用される可能性が高い。 ③ 各記憶媒体(FD,HDD)のデータを消去するための防護システムがない。 ④ データ盗難の危険性が高い。 ⑤ プログラムのコピーを入手することによって,データアクセスが可能。 ⑥ 利用者の知識不足によるデータ破壊もありうる。 ⑦ 操作等に関して,知人やコンサルタンツに 操作等の助言を仰ぐことが多いため,データが暴露されやすい。 ⑧ システム使用についての監査証査をとることが困難である。 (2)対策 ① パソコンをテーブル等へ固定,ノート型等の場合, 鍵付きのロッカーに入れる等の工夫を行う。 ② パソコン自体またはパソコン電源を施錠可能な構造とし, 鍵は安全に保管。 ③ ファイルに残ったデータを確実に消去する。 ④ 機密データはFDなど取り外し可能な媒体に格納し, 媒体は施錠可能な収納庫に保管し,鍵を安全に保管。 ⑤パソコン用のアクセス管理ソフトウェアの利用, 市販ソフトパッケージ上で処理するデータの場合, ソフトに備わっているロック機能,非表示機能等を用いる。 ⑥ 内製ソフトであれば,操作部分を安全に設計する。 11.4.2 通信回線 (1)脅威 ①回線からの盗聴 通信回線,マイクロ波網から内容が盗聴されることがある。 ②回線メッセージの改ざん 特殊な端末を回線に接続し,ユーザからのシステムへのメッセージを遮 断し,システムへはユーザからのものと思われるよう偽装したメッセージを 送り,ユーザにはシステムからのものと思われるよう偽装したメッセージを 送り返す等の不正が行われることがある。 ③回線へのメッセージの挿入 特殊な端末を回線に接続し,ユーザとシステムが交信していないとき,シ ステムと交信しメッセージを挿入する不正が行われることがある。 (2)対策 ①建物内の通信幹線を金属導管で覆って盗聴防止。 ②回線が集中する電話室等の入退室管理を厳重にする。 ③ユーザとシステムとの間で予め決められたチェック項目を送信 データに挿入し,メッセージの改ざんや挿入がないことを確認。 ④パケット交換によるデータの分割伝送により,メッセージの改ざ んや挿入を防止。 ⑤回線接続相手を確認するためコールバック手続きを行う。 ⑥回線上のデータを暗号化する。 11.4.3 コンピュータ不正 (1)コンピュータ環境の弱点(1) ① 情報が集中しているので,不正者にとっても必要な情報を集めやすい。 ② 記録が目に見えないため隠蔽できる機会が多い。 ③ 形跡を残すことなく,プログラムやデータを改ざんできる。 ④ データを一瞬のうちに消去できるので, 不正の痕跡を隠滅することができる。 ⑤ プログラム中に不正な処理を付加されても, 複雑なため発見が困難である。 ⑥ データファイルにアクセスできる人が多いので, 統制力が不足しがちである。 コンピュータ環境の弱点(2) ⑦プログラマやデータ入力担当者は, 記録を不正に操作することができる立場にある。 ⑧システム設計者やプログラマには。 内部統制的志向が欠如していることが多い。 ⑨専門技術者は制御ポイントを 簡単に迂回することができる場合が多い。 (2)コンピュータ不正の種類 ①不正データ入力 権限のない者が不正なデータを入力することによって, 貨幣・有価証券・棚卸資産を不当に入手すること。 ②データやソフトウェアの不正入手 データやソフトウェアを許可なく入手(窃盗)すること。 窃盗はコピーすることで行われるので盗難の事実が分からない。 犯罪者に罪の意識が薄い。 ③コンピュータの不正使用 コンピュータを無断で他の目的に使用すること。 ④プログラムの改ざん 本人の利益になるようプログラムを改ざんし,処理を変更すること。 (3)不正摘発(1) ① 預金の睡眠口座,売掛金の長期滞留口座に注意する。 得意先への確認も有効。 ② コンピュータ記録と現物残を照合。銀行,得意先に対する残高確認, 棚卸資産の帳簿残と現物残の定期的照合等。 ③ エラーを装った不正が行われることがあるので,エラー多発に注意する。 ④ オペレーションログ等により,権限のない者による実行, ファイルアクセス等をチェックする。 ⑤ 担当者の職場・職務交代や長期休暇をとらせることによる不正摘発。 不正摘発(2) ⑥ 並行シミュレーション法,テストデータ法,ITF法等よる プログラムの正確性の確認。 ⑦ 売掛金残高や在庫数量のマイナス口座を出力する 異常値抽出プログラムを作成して不正発見に利用。 (条件指定サンプリング) ⑧ 日常,取引に粉飾データを潜り込ませて処理されることがあるので, ある確率で粉飾データを抽出する機能を持たせておく。 (統計的サンプリング) 11.4.4 コンピュータ不正アクセス対策 (1)コンピュータ不正アクセスの定義 システムを利用する者が, その者に与えられた権限によって 許された行為以外の行為を ネットワークを介して意図的に行うこと。 (コンピュータ不正アクセス対策基準) 11.4.4 コンピュータ 不正アクセス対策 シ ス テ ム ユ ー ザ ①管理体制の整備 シ ス テ ム 管 理 者 サ ーネ ビッ ト スワ 事ー 業ク 者 ハ ー 供ド 給・ 者ソ フ ト ○ ○ ○ ②ネットワークサービスユーザ管理 ○ ③システムユーザ管理 ○ ④パスワード・ユーザID管理 ○ ⑤情報管理 ○ ⑥設備管理 ⑦コンピュータ管理 ○ ○ ○ ○ ○ ○ ⑧履歴管理 ○ ⑨開発管理 ○ ⑩販売管理 ○ ⑪事後対応 ○ ○ ○ ○ ⑫教育及び情報収集 ○ ○ ○ ○ ⑬監査 ○ ○ ○ ○ 11.4.5 ①ソフトウェア管理 ウィルス 対策 シ ス テ ム ユ ー ザ シ ス テ ム 管 理 者 ハ ー 供ド 給・ 者ソ フ ト サ ーネ ビッ ト スワ 事ー 業ク 者 サ ー ビシ スス 事テ 業ム 者 ○ ○ ○ ○ ○ ②システム管理 ③ネットワーク管理 ○ ④コンピュータ管理 ○ ⑤開発管理 ○ ⑥製品管理 ○ ⑦運用管理 ○ ○ ⑧爾後対応 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ⑨教育・啓蒙 ⑩監査 ○
© Copyright 2024 ExpyDoc
