とは言っても、技術的な部分しか勉強してないです。もともとネットワーク系知ってたから入りやすかったので。
# 規約とか法律とかは勉強する気になかなかなれず、だからNWも落ち続けてるんでしょうが・・・
そこで、今まで学んできたセキュリティ関連の情報を自分の中で整理し、自宅のセキュリティ対策を見直してみる。
そもそもセキュリティ対策の基準は?
今の日本におけるセキュリティに関するトップが内閣サイバーセキュリティセンター(NISC)である。NISCがどんな組織なのかは本家のWebページなどを参照して欲しいが、日本政府が内閣官房に立ち上げた情報セキュリティの推進を行う団体である。
そんなNISCから様々な情報を公開しているが、セキュリティ対策に関して参考となる情報としては以下がある。
「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の策定について
http://www.nisc.go.jp/active/general/sbd_sakutei.html
名前の通り、本来は情報システムにおけるセキュリティ要件を策定するための指針となるマニュアルであるが、上記の中で情報システムにおけるセキュリティの基準がまとめられている。
それによると、セキュリティ対策は大きく8つの区分となっている。
侵害対策(AT: Attack)
:外部からの攻撃をされないようの防御策
不正監視・追跡(AU: Audit)
:外部からの攻撃を検出できるようにするための対策
アクセス・利用制限(AC: Access)
:正規のユーザーのみ利用できるようにするための対策
データ保護(PR: Protect)
:データの盗聴や改ざん、不要なアクセスの制限などの対策
物理対策(PH: Physical)
:物理的な情報漏えいや不正侵入への対策
障害対策(事業継続対応)(DA: Damage)
:障害時の事業継続するための構成管理や可用性対策
サプライチェーン・リスク対策(SC: Supply Chain)
:委託や調達における対策
利用者保護(UP: User Protect)
:システムの利用者のセキュリティ水準の低下や、個人情報の漏えいへの対策
また、それぞれの区分における具体的な対策は以下となっている。
対策の詳細や想定された脅威などは、元ネタの資料に細かく書いてあるので
勉強したい人は一度目を通されたら良いです。
侵害対策(AT: Attack)
・通信回線対策
・不正プログラム対策
・脆弱性対策
不正監視・追跡(AU: Audit)
・ログ管理
・不正監視
アクセス・利用制限(AC: Access)
・主体認証
・アカウント管理
データ保護(PR: Protect)
・機密性・完全性の確保
物理対策(PH: Physical)
・情報窃取・侵入対策
障害対策(事業継続対応)(DA: Damage)
・構成管理
・可用性確保
サプライチェーン・リスク対策(SC: Supply Chain)
・情報システムの構築等の外部委託における対策
・機器等の調達における対策
利用者保護(UP: User Protect)
・情報セキュリティ水準低下の防止
・プライバシー保護
ここまで前フリでした。
次回、自宅向けのセキュリティ対策でまとめてみます。
