法人のお客さま総合 > Business ADVANCE > ICT用語ガイド > GUIDE 002 セキュリティポリシー

ICT用語ガイド
GUIDE 002 セキュリティポリシー
〜個人情報保護法施行後の内部ネットワーク・セキュリティの観点から〜

2006年03月15日公開

パート2 進むユビキタス化、遅れるセキュリティ対策

ユビキタスネットワーク社会に潜む危険性

また最近はユビキタスネットワーク社会化が進むにつれて、駅、ホテル、飲食店などに無線LANのアクセスポイントが設置され、さらに海外でも公衆LANを使うことができるようになりました。

それは非常に便利で喜ばしいことですが、ウィルスに感染する可能性も否定できません。例えば海外出張の際、ノート型パソコンを使って外国の公衆LAN経由でウィルスに感染し、帰国後、社内でもそのパソコンを使用するとセキュリティ対策が不十分な場合は社内にウィルスが蔓延します。ウィルスに感染すると、以下のようなことが発生する可能性があります。

  • ・社内の情報が外部に流出する、または消える
  • ・パソコンが異常な動作をし、システム業務が停止する
  • ・外部からの不正侵入制御が機能しない

求められる新たな内部ネットワーク・セキュリティ

上記のようにインターネットや社内LAN以外の外部ネットワークからウィルスなどが侵入する危険性を孕んでいます。これらから企業内部の情報、ネットワーク、パソコンなどを保護するための取り組みを「内部ネットワーク・セキュリティ」と呼びます。内部ネットワーク・セキュリティの一環として、ウィルス対策ソフトや不正侵入防止のためのファイアウォールの設置は多くの企業で導入が行われています。しかしながら、これだけでは不十分であることは多くの事例で証明されたと言えるでしょう。

そのため、これまでの経験をもとにした新しい仕組みが登場してきました。ここでは「IDS」、「IPS」、「検疫ネットワーク」、「統合脅威管理」および「プライバシーマーク」という最近よく目にする5つのキーワードを紹介します。ただし、このような対策を講じたとしても残念ながら「絶対に情報が漏れない」ということではありません。結局はこれらの対策の運用を行うのは人間であり、セキュリティに対して意識の改革を行わない限り抜け道ができてしまうためです。社員全員にセキュリティポリシーを浸透させるためには、セキュリティに関する研修の定期的な開催や浸透度を測るためのアンケートなども必要となるでしょう。

IDS(Intrusion Detection System)
企業内のネットワークやパソコンに対する不正を検出するシステム
日本語にすると「侵入検知システム」となる。侵入検知には「不正検出」と「異常検出」の2種類がある。前者は不正侵入の手口や振る舞いを登録することで、外部からの不正な侵入を検出する。後者は例えば通常のユーザが突然夜中にログインをしたり、大量のデータをコピーしたりなどの異常を検出する。異常検出のためには、ログイン情報や使用するアプリケーションの情報などを登録しておく必要がある。
IPS(Intrusion Prevention System)
IDSに防御機能を加えたシステム
日本語では「侵入予防システム」。IDSでは不正侵入を検知できるが、その後の対応はシステム任せという訳ではなく人に頼らざるを得ないものが多い。そのため検知後の対応が後手になりがちだ。IPSは不正侵入を検知するだけでなく、リアルタイムでブロックする機能を備えていて被害が拡大するのを防ぐことができる。
検疫ネットワーク
パソコンの安全性を確認した上で、社内ネットワークに接続する仕組み
社内のLANに繋ぐ全てのパソコンを対象に、1度LANに接続する前に検査専用のネットワークを使い、セキュリティ上の問題がないことを確認する仕組み。ウィルスに感染していないか、ウィルス対策ソフトのパターンファイルは最新か、Windowsなどの修正プログラムが適用されているかなどを検査し、合格したパソコンのみが社内LANへの接続を許可される。
統合脅威管理(UTM)
セキュリティに関するシステムを統合し管理する方法
ファイアウォール、ウィルス対策ソフト、IDSなどの機能を統合し、導入・運用を容易にした管理方法。複数の機能を組み合わせて使用できるため、それぞれの機能を単体で使うよりも管理能力が高い。また一元管理をするため、問題が発生した場合の特定・処置を短時間で行うことができるのも大きな特長の1つである。
プライバシーマーク
個人情報保護の取り組みに対する第三者機関による認定制度
日本情報処理開発協会(JIPDEC)およびその認定機関が、個人情報の取り扱いを適切に行っているかを認定する制度。国際規格であるISO15001を日本工業規格(JIS)化した「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001)に準拠しているかが審査基準となる。有効期間は2年間でそれ以降は2年ごとの更新が必要となる。
  1. 1
  2. 2
  3. 3

前のページへ

次のページへ

ICT用語ガイドTOP

「ICT用語辞典」はこちらから

このページのトップへ

グリーンICTソリューション
危機管理強化ソリューション
Business ADVANCE コムこむ国物語
QRコード
ICT用語辞典モバイル版配信中!左のQRコードもしくは、http://com-m.jp/からアクセスしてください。
経営課題とICT(ITトレンド) 経営課題を解決する最新ICTを具体的に解説

個人事業〜中小法人のための
IT活用方法・お役立ち情報