2 ネットワーク環境におけるセキュリティ対策
ここでは、情報ネットワーク・システムのセキュリティに注目し、ヒアリング調査結果をもとに、オープン化に積極的な地方公共団体における脅威の実例、またオープン化された情報システムに対するセキュリティ確保のための基本的な考え方について整理している。
地方公共団体において、ネットワーク導入が庁内LANの導入やCSSの導入、情報系(非個別業務)ネットワークの出現の流れとして整理してきたが、これらの流れの観点を変えてシステム管理の立場で見ると、「業務システム単位」から「共通基盤的ネットワーク(複数業務が稼動)の存在を想定」へのシステム管理の責任分担の発生や、「蓄積された(ストック)静的なデータの管理」から「流れる(フロー)動的なデータの管理」をも視野に入れた管理とも考えることができる。ネットワーク環境におけるセキュリティ対策を講ずる場合の主たる項目は、以下のとおりである。
・組織における共通基盤ネットワーク
・システム管理部門とエンドユーザの関係のアンバランス
・蓄積データ中心の管理からデータの流れを考慮した管理
・組織内におけるセキュリティ管理者の必要性
・セキュリティ方針の必要性の確認
・公式セキュリティ方針の策定過程
セキュリティヘの脅威と対策(第3章)
本章では、情報システムを脅威から守るためのセキュリティ対策の考え方と、技術的なセキュリティ対策について述べている。
1 情報システムを脅威から守るためのセキュリティ対策
ここでは、不正アクセスを中心とした情報システムに対する脅威と、その対策に関する考え方を述べる。特に対策では技術的対策に目が行きがちであるが、それ以上に大切なのが人間を含めたシステムとしての視点であり、非技術的対策の重要性について指摘する。
主たる項目は、以下のとおりである。
・不正アクセスの被害とその影響
・不正アクセスの形態
・不正アクセスに対する技術的対策
・不正アクセスに対する非技術的対策
・被害にあった事後の対応
・ユーザ部門におけるセキュリティ対策
・不正アクセス行為の禁止等に関する法律