第4章リモートアクセスにおけるセキュリティ対策の概要

4章
リモートアクセスにおける
セキュリティ対策の概要

 

4.1
4.1 セキュリティ被害とセキュリティ対策の進め方

4.1.1 リモートアクセス環境におけるセキュリティの脅威と被害の特徴
(1) 一般的な脅威と被害

一般的なセキュリティの脅威は以下のように分類されています。

@ 環境的脅威:地震、台風、雷、火事など
A 偶発的脅威:事故、故障、停電、誤動作、過失など
B 意図的脅威:不正アクセス、盗聴・盗視、盗難、ウィルス、アクセス不能攻撃、情報持ち出しなど

場合により「過失」を偶発的脅威とは分けて考えることもあります。この場合の「過失」は以下のようなものです。
過失:パソコンの置き忘れ、情報メディアの紛失、メールの誤転送、重大な誤操作

  不用意な情報露出、危険性の高いソフトウェアの使用など

これらの脅威が発生した時の被害は以下のいずれかになります。

@ 情報の漏えい:機密情報の流失、個人情報の流失など
A 情報の信用性の喪失:改ざん、消去など
B システムの停止、アクセス不能:結果として業務の停止、サービスの停止など
C 被害の拡大:踏み台にされる、ウィルスを拡大する、攻撃に手を貸す、結果として信用の喪失

以上の脅威と被害はリモートアクセスを導入していなくても起こることです。まずはこれらへの対策を行う必要があります。一般的なセキュリティ対策に関しては、5章〜7章を参照して下さい。一般的なセキュリティ対策を中心にリモートアクセスで特に注意すべき点に言及しています。
 
(2) リモートアクセス環境におけるセキュリティ脅威の特徴

リモートアクセス環境のセキュリティ脅威面での特徴を整理すると以下のようになります。

@ 遠隔地からのアクセスパスができる:不正アクセスの脅威が増加
                        ネットワークでの盗聴・盗視の脅威が増加
A オフィス外での業務が増加:パソコンの盗難、置き忘れ、情報メディアの紛失、
                  メールの誤転送、不用意な情報露出などの過失の脅威が増加
B パソコンの公私共用の危険性:ファイル交換ソフトなど危険性の高いソフトウェア
                    の存在などの過失の脅威が増加、ウィルス感染の脅威が増加
C 管理者の目が届かない:意図的な情報持ち出しなど内部犯罪の脅威の増加
                 ウィルスチェック、情報のバックアップなどの怠りの危険

 
(3) リモートアクセス環境におけるセキュリティ被害の特徴

上記の増加する脅威とそれによってもたらされる被害との関係は以下のとおりです。

@ 不正アクセス、ウィルス感染:情報漏えい、情報の信用性の喪失、システム停止、
                     被害の拡大、すべての可能性
A 盗聴・盗視、過失、内部犯罪:主として情報漏えいの可能性

リモートアクセス環境のセキュリティ面での特徴的な点は、不正アクセスの脅威と過失などによる情報漏えいの被害が増大する可能性が高まることです。
 これらに対して考えられる対策は以下のようになります。

・ 不正アクセス対策:ユーザー認証の強化、システム脆弱性の削減
・ 情報漏えい対策:機密情報の暗号化の徹底
            パソコンの公私共用の禁止
            過失や内部犯罪防止のための制度や規則の充実
            リモートアクセス利用者の選別

 本章では、以下これらの対策の進め方とリモートアクセスに関するセキュリティ上の注意点に関して記述しています。
 

コース (A  B  C  D  E)
4.1.2 セキュリティ対策の進め方

リモートアクセスの導入とそれに伴うセキュリティ対策を決める手順は大略上記のようになります。本資料における参照個所を右に示してあります。

まずは情報セキュリティ基本方針(5.3参照)を確認し、それに沿って、リモートアクセスの導入目的を明確にし、それに適した利用形態や、クライアント機器、接続方式を決めます。このとき、利用者を想定し、利用目的と使い勝手を損なわない範囲で、内部ネットワークへのアクセスを出来るだけ制限することがセキュリティを確保するためには望まれます。

次に、情報セキュリティ対策基準(5.3参照)を見直します。既に企業や団体としての基準がある場合は、それをベースとしてリモートアクセスを導入することに伴う追加、変更を行います。

 まだ対策基準がない場合には、リモートアクセス以前に企業や団体としての情報セキュリティ対策基準を決めましょう。この場合、4.5で紹介する「政府機関の情報セキュリティ対策のための統一基準」が参考になります。これは政府機関のための資料になっていますが、一般の企業でも参考になります。取捨選択して利用すると良いでしょう。
 

コース (A  B  C  D  E)