第7章 情報セキュリティとアカウンタビリティ 1.リスクマネジメント (1) リスク概要 電子文書・電子化文書では、デジタル情報としての特性から来るリスクが あり、それらに対する認識が重要である。 リスク評価は、物理的、技術的、人的脅威における脅威について調べる必 要がある。 (脅威の例) ・物理的脅威:進入、破壊、故障、停電、災害等 ・技術的脅威:不正アクセス、盗聴、コンピュータウィルス、改ざん・消去、 Dos 攻撃、なりすまし等 ・人的脅威 :誤操作、持ち出し、不正行為、パスワードの不適切管理等 (「情報セキュリティポリシーに関するガイドライン」情報セキュリティ対 策推進会議 H12 年 7 月 18 日) ( 注 ) DoS 攻撃:Denial of Service Attack。インターネット経由での不 正アクセスの 1 つで、大量のデータや不正パケットを送りつけるな どして、システムがサービスを提供できないようにすること。 これらのリスクが単独、あるいは複数の原因から、 文書の改ざん、紛失、 漏洩などが発生する。電子データは改ざんが比較的容易で、改ざんや不正行 為があっても痕跡が残りにくい。パソコンや記録メディアは持ち運びが可能 であり、紛失した場合など大量の情報がなくなるだけでなく、情報の漏洩に つながる。また、外部からネットワークへの侵入や、社内の人間による不正 あるいは過失によるもの、データの廃棄を適切にしなかったことなどで情報 漏洩が発生する。 これらのリスクに対する対策として次のようなものがあげられる。 ① 改ざん防止及び存在証明としての電子署名やタイムスタンプの付与 ② 利用者の制限、ログをとるなどのアクセス管理や履歴管理 ③ 版管理/記録管理などの削除防止や信頼性の確保 ④ ファイアウォールやウイルス対策などネットワークの保護 ⑤ パソコンやメディアの持ち出し制限、盗難対策や保管管理 ⑥ 暗号化などによるデータの保護 ⑦ ハードディスクなどの記録メディアは物理的に破壊しての廃棄 104 id3_143701_7章.indd 104 12.3.8 10:53:47 AM 情報セキュリティとアカウンタビリティ 第7章 セキュリティ対策は電子文書・電子化文書にとどまらず、紙文書・マイク ロフィルム文書においても必要である。組織でのセキュリティポリシーや文 書管理規定を明確にし、日頃の社員教育などで意識を向上させ、正しく実施 していくことが重要である。 紙文書と電子データでは書面の性格が異なるため、電子データで保存する 際は適切な処置が必要となる。適切な処置とは次のようなものがある。 ① 文書管理規定又は運用体制・運用ガイドラインの整備 ② 電子化における手順の標準化(JIS Z 6016)及び、各種標準規格など の採用 ③ 電子署名 ④ タイムスタンプによる存在の第三者証明など 電子署名及びタイムスタンプの役割は図7−1にあるように、「何を」(電 子データ)、「誰が」(電子署名)、「いつ」(タイムスタンプ)を証明するもの である。 第 章 7 105 id3_143701_7章.indd 105 12.3.8 10:53:48 AM
© Copyright 2024 ExpyDoc
