1.2 セキュリティ対策の考え方
(1) セキュリティ対策の重要性
システムのセキュリティ対策が十分でないと,顧客情報などの機密性の高い情報が漏えいしたり,改ざんされたりするおそれがあります。このような事態が発生すると,組織の社会的信用は失墜し,大きな経済的損失を招きます。このように,システムのセキュリティ対策を怠ると,大きなビジネス上のリスクが生じる可能性があります。システムの管理者はこのようなビジネス上のリスクを回避するために,機密性の高い情報を管理しているシステムのセキュリティを強化する必要があります。
(2) 管理者が認識しておく必要があるセキュリティ上の脅威
システムの管理者は次に示すようなセキュリティ上の脅威を認識し,それに対して十分な対策を行う必要があります。
- データへの不正なアクセス
- データの漏えい,改ざん,破壊
- システムの不正利用
これらの脅威は組織外(インターネット)だけではなく,組織内にも存在します。組織内に存在するセキュリティ上の脅威を次に示します。
- 権限の範囲を超えたデータへの不正なアクセス
- 組織内の人間によるデータの持ち出し(漏えい,改ざん,破壊も含む)
- 権限の範囲を超えたシステムの不正利用
(3) 必要なセキュリティ対策
(2)で説明したセキュリティ上の脅威に対して,管理者は次に示すようなセキュリティ対策を行う必要があります。
- ファイアウォールなどのセキュリティ機器による対策
- マシンルームの設置などによる物理的対策
- 使用するソフトウェアのセキュリティ対策
- セキュリティ面の管理・運用ルールの設定による対策
- 利用者のセキュリティ教育などによる人的対策
- ポイント
- システムのセキュリティ対策は,HiRDBだけでなく,OSやネットワークなども含めて包括的に行う必要があります。HiRDBだけでセキュリティ対策を行っても,期待したセキュリティ効果が得られません。また,ソフトウェアやハードウェアのセキュリティ対策だけではなく,利用者のセキュリティ教育なども必要です。
- また,システムの利用者全員(管理者も含む)がセキュリティ対策を継続して行うことが重要です。