最終更新日:2000年5月17日
情報処理振興事業協会
セキュリティセンター
先般の官庁ホームページ改ざん事案に見られるように、情報システムのセキュリティ対策は喫緊の課題となっている。
他方で、セキュリティ対策については、
@その時点において考え得る全ての対策を講じた場合においてもセキュリティを破られる可能性が残されるとともに、不正アクセス技術の進展等により時間の経過とともにセキュリティを破られる可能性が増大するという性質のものであること
A対策を講じるには費用や労力が必要となることも多いこと
B対策を講じることにより、場合によっては情報システムの使い勝手を損なう可能性もあること
等々の問題があり、「守るべき情報の重要性」と上記問題点の兼ね合いを見つつ進めていかざるを得ないのが現状である。
このような状況の中、現時点において必要と考えられるセキュリティ対策が行われているか否かを判断するために、以下の視点に基づき作成したのが、本チェックシートである。本チェックシートが、各情報システムのセキュリティ対策の点検に活用されるのみならず、セキュリティ対策の向上にもつながることを期待している。
なお、上記@のとおり、本チェックシートに挙げられた対策のみで万全であるわけではないこと、最新の情報収集と継続的なメンテナンスが必須であることに留意されたい。
1.対象とする脅威の範囲(何から情報システムを守るのか)
今般の官庁ホームページ改ざん事案等にかんがみ、「インターネット経由で外部から行われる不正アクセス」(注)を対象とした。
情報システムのセキュリティにおける広義の脅威という観点からは、その他にも、内部ネットワークから行われる不正アクセス、システムの障害、人的エラー、災害等に対する情報システムのセキュリティも検討すべきであると思われるが、これらは単なる情報システムのセキュリティ問題にとどまらず、組織的な危機管理・情報管理等の問題と密接に関連してくるものであることから、今回のチェックリストで想定する脅威からは除外した。
(注)不正アクセスとは、システムを利用する者が、その者に与えられた権限によって許された行為以外の行為を、ネットワークを介して意図的に行うことを指す。
2.具体的なチェックの内容(どのように情報システムを守るのか)
情報システムのセキュリティを確保するためには、必要となる情報の収集から始まって、不正アクセスを許す要因を極力減少させること、不正アクセスがあった場合にはこれを発見するとともに、然るべき対応・対策を行うことが必要である。
これを具体化すると、以下のとおりとなる。
なお、()内は理解の助けとなることを意図して、実社会の例に置き換えて表現したものである。
(1) 情報の収集をきちんと行っているか
セキュリティ情報の収集に努めるとともに、当該情報に基づく対策を講じることが必要か否か検討しているか。(回覧板に「空き巣急増」といった記事があることをチェックしているか。それに基づき、家を少し空ける場合でも施錠するといった対策を行うか否か検討しているか。)
(2)不正アクセスにつながる要因を減らすための対策を行っているか
ネットワーク及びコンピュータに対する不正アクセスがなされないように、適切な対策を講じているか。(きちんとした塀や門を設けているか。門に鍵はかけているか。鍵は適切に保管されているか。)
(3)不正アクセス及びその予備行為が行われたことを発見するための対策を行っているか
ネットワーク及びコンピュータに対して不正アクセスが行われた際にシステムに残される可能性のある痕跡を、きちんと確認しているか。(塀や門を乗り越えられていないかモニターカメラ等で監視しているか。閉めたはずの鍵が、いつの間にか開けられていないか。)
(4)不正アクセスが行われた際の被害を軽減させるための対策を行っているか
不正アクセスが行われた場合にあっても、情報の改ざん、損失等が最小限にとどめられるよう、必要な対策をとっているか。(貴重品は金庫に入れているか。通帳と印鑑は別々に保管しているか。)
(5)不正アクセスが行われた際に講じるべき対応を定めているか
不正アクセスが行われた場合に、状況を把握するためのログの保管や、対応方法、責任体制等を明確にしているか。(現場保存。警察への通報。場合によっては、金融機関その他への届出等も必要。)