研究論文
自治体における情報セキュリティ確保のための
リスク分析モデルの構築に関する実証研究
−兵庫県庁の情報セキュリティ監査における実証事例による−
津川 誠司、黒田 正治郎…… 1
ネットワークセキュリティの現状と課題
杉山 典正、豊浦 由浩、藤田 弘典、中桐 大壽……13
銀行のITアウトソーシングにおけるリスク・マネジメントの方向性
−ビジネス・コンティニュイティ(事業継続)のための可逆性確保の観点からの考察−
渡辺 研司……24
制御システムに対する不正アクセスの危惧
神尾 博、安本 哲之助……41
研究ノート
国際交通・運輸セキュリティ対策
今道 周雄……51
定期自己点検に備えた可用性管理の体系を考える
−日常管理の工夫および情報資産の評価を中心視点とする環境モデルの利用−
[研究論文]
自治体における情報セキュリティ確保のための
リスク分析モデルの構築に関する実証研究
−兵庫県庁の情報セキュリティ監査における
実証事例による−
An
Experimental Study on the Construction of the Risk Analysis Model
for the Information Security
Management of the Local Governments
−In the
Experimental Case of the Information Security Audit of
the Hyogo
Prefectural Government−
兵庫県庁 津 川 誠 司
Hyogo Prefectural Govevernment Seiji
TSUGAWA
近畿大学 黒 田 正治郎
Kinki University Shoziro KURODA
要 旨
自治体において主幹業務を中心とした電子化が進んでいるが、その反面、自治体に対する不正アクセスやコンピュータウイルスなどの電子的な脅威は増大している。それらの脅威から自治体の情報資産を守り、住民が安心して使える電子自治体システムを構築するためには、セキュリティポリシーの策定や情報セキュリティ監査が不可欠である。しかし、自治体にとって有効なリスク分析モデルが存在しないため、多くの自治体では、雛形からセキュリティポリシーを作成するのみで、情報セキュリティ監査は実施されてはいない状況である。
そこで、ISMS と総務省のガイドラインをもとに、情報資産、脅威、脆弱性を適正に定量化し、職員が継続して実施でき、安全性を保証する自治体型リスク分析モデルを構築し、兵庫県庁の情報セキュリティ監査において実証実験を行った。その結果、被害状況から脅威の類型化を導き、アンケートと疑似アタックを中心とした手法で脆弱性を定量化するこのモデルの有効性が証明できた。
キーワード
電子自治体、セキュリティポリシー、情報セキュリティ監査、リスク分析、疑似アタック、侵入テスト
[研究論文]
ネットワークセキュリティの現状と課題
The Actual Situation and Task of Network
Security
大阪工業大学 *杉 山 典 正
Osaka Institute of
Technology Norimasa SUGIYAMA
大阪工業大学 豊 浦 由 浩
Osaka Institute of
Technology Yoshihiro TOYOURA
大阪工業大学 藤 田 弘 典
Osaka Institute of
Technology Hironori FUJITA
大阪工業大学 中 桐 大 壽
Osaka Institute of
Technology Daiju NAKAGIRI
要 旨
2001年のe-Japan戦略から,政府は本格的に電子政府を推し進めている.一般家庭においても,ITはネット家電を始めとする様々な形態で活用されている.そして,IT利用の多様化に伴い,セキュリティ技術も発展してきた.しかし,依然としてネット犯罪は増大するばかりである.ウィルスやワームも巧妙化しており,2003年1月,韓国ではワームによる大規模な被害が発生した.このような現状の中,セキュリティ技術には,状況変化に対応した間断のない開発が求められている.そこで,本論文ではコンピュータネットワークとネット犯罪の現状を示すことで,セキュリティ技術の動向を把握し,問題点を明らかにする.そして,セキュアなネットワーク構築の重要性を唱える.さらに今後の対策と課題について考察するものである.
キーワード
IT セキュリティ ネットワーク管理 ウィルス セキュリティポリシー
[研究論文]
銀行のITアウトソーシングにおける
リスク・マネジメントの方向性
ビジネス・コンティニュイティ(事業継続)のための
可逆性確保の観点からの考察
Direction of Risk Management at Banking IT Outsourcing
Consideration from
reversibility assurance of business continuity point of view
長岡技術科学大学 渡 辺 研 司
要 旨
銀行は経営環境の厳しさが増す中、専門性を有する外部企業への業務委託により、業務の高度化・効率化を図り、業務運用コストの削減を目指しているが、特にITシステムの分野においては、その企画の一部、開発・導入、運用・保守を、既に外部のシステム・ベンダーなどにアウトソースすることに着手し始めた。銀行業務アウトソーシングに係わる潜在リスクとして、銀行サービス提供における可用性、安定性、安全性の観点から、アウトソーサーへの依存度増加に伴い、サービス可用性・サービス・レベル(品質)・セキュリティ・信用(アウトソーサー自体の)といった分野において諸リスクが増大する可能性が出てきている。特に昨今のIT、システム、ネットワークの不具合に起因する諸事故を考慮すると、有事(自然災害、人的災害といったディザスター)の際に、アウトソースを実施している業務の可逆性を如何に確保するかが、今後、重要になってくると思われる。BCP(ビジネス・コンティニュイティ・プランニング:事業継続計画)の観点からも、銀行業務におけるアウトソーシングについては、ディザスターによるインパクトそのものの深刻度合が増すことから、業務の復旧許容レベルまでの所要時間の長期化に繋がる要因となる可能性が高いため注目しなければならない。今後の銀行業務アウトソーシングに係わるリスク・マネジメントの方向性として、アウトソーサー選定基準の強化、ユーザーグループの組成に加え、業界内における業務プロセスやデータの標準化による相互補完体制の導入等の施策を検討する必要がある。また、アウトソーシング導入に関する経営判断には、計量化されたオペレーショナル・リスクを反映させる必要がある。最後に銀行の経営者、システム部門のスキル、システム・オペレーションの状況等の日米比較を行い、本格的なアウトソーシングに対する”readiness”についての考察を行う。
キーワード
ITアウトソーシング、サービス可用性(service availability)、事業継続のための可逆性確保、事業継続計画(Business
Continuity Planning)、“リスク調整後”経済性
[研究論文]
制御システムに対する不正アクセスの危惧
Fear of Illegal Access to Control
System
クボタシステム開発株式会社 神 尾 博
Kubota Systems Inc. Hiroshi KAMIO
鳥取環境大学 安 本 哲之助
要 旨
制御システムと情報・通信システムとの融合が、工場,交通,医療,家庭等、社会の様々な分野で急速に進んでいる。たとえばFA分野においては、既に数多くの工場で、メインのコンピュータによる各種自動機械・ロボットの制御や生産情報の収集が行われている。また、HA(Home Automation)分野では、外出先から電話回線を通じての、ビデオの予約や冷暖房の入り切り等をおこなうといったIT家電が具現化し始めた。こうした技術の普及は、生産コストや利便性等で人々に多くの恩恵をもたらす一方、ネットワークを通じての不正アクセスやウイルス等による被害が、制御システムにまで及ぶ可能性も高まってきた。
制御システムへの脅威は、電子データのみならず人命や器物に直接的な被害を及ぼしかねないため、サイバーテロリズムにつながる恐れも決して無いとは言い切れない。現時点では、専門エンジニア以外にはあまり中身を知られていないが、近い将来、社会問題となるレベルにまで被害が拡大する可能性も十分にあり得る。現に制御機器の代表格であるPLC(Programmable Logic Controller)への不正アクセスの具体的方法も実演が可能であり、また過去にもPLC以外ではあるが、制御系において小規模ながら被害を与えた事件がいくつか存在する。
こうした制御系のセキュリティ対策は、ファイアーウォールの設置やパスワードの定期的変更等、従来のビジネス系におけるITセキュリティと同様の内容のみならず、電気信号・メカニズムを加えての検討等、制御システムの特性を十分考慮して行う必要がある。
キーワード
制御システム,メカトロニクス,遠隔操作,IT家電,ハッキング,脆弱性
[研究ノート]
国際交通・運輸セキュリティ対策
Security Development for International
Transportation and Trading
株式会社 レッドサイレン・テクノロジー 今 道 周 雄
RedSiren
Technologies, K.K. Chikao IMAMICHI
要 旨
米国貿易センタービル崩壊から始まった世界的なテロの動きに、世界各国は否応なしに巻き込まれている。わが国もこの事態に対処してゆかなければならないが、官民を通じたセキュリティについての共通認識を作り上げ、迅速に行動することが必要である。本論文では特に国際交通・運輸の分野でのセキュリティ問題を取り上げ、当面する課題と対策について述べる。
キーワード
ICAO(国際民間航空機関)、MRTD(機械読み取りドキュメント)、WMD(大量破壊兵器)、HSD(本土セキュリティ省)、CBP(関税局)、STAR合意、BTA(生物テロ法)、FDA(米国食品・医薬品局)CSI(コンテナ・セキュリティ・イニシアチブ)、C−TPAT、CAPS-II(乗客審査システム)、マニフェスト
[研究ノート]
定期自己点検に備えた可用性管理の体系を考える
−日常管理の工夫および情報資産の評価を中心視点とする環境モデルの利用−
Practical Management System
of Information Availability for Periodic Voluntary Inspection
アイ・ビー・エム ビジネスコンサルティングサービス株式会社 平 野 晃 治
筑波大学大学院
IBM Business Consulting Services KK Koji HIRANO
要 旨
情報セキュリティマネジメント認証規格要件のひとつである定期自己点検は,「情報オーナー部門による情報資産の評価」,これをうけた「システム部門を中心とするシステム等運用環境上の問題の発見と対策の検討」に至る一連の活動である.しかし,毎年,限られた期間内に,数百から時には万単位レベル以上もの情報資産が関係する運用環境調査は,負荷の大きい困難な作業である.特にシステム部門による「システム等運用環境上の問題の発見と対策の検討」には,「システム機能の業務を通じたビジネス上の利用目的と影響内容」「各情報資産が関係する複雑な運用環境,即ち,複数システム間,物理的エリア等その他運用環境との影響関係」の調査が必要とされ,これら調査作業の日常管理への組み入れと,得られた調査結果の自己点検作業への活用が求められる.
本稿では,システム部門において日常取り組まれている「可用性管理」を対象とした,効率的な定期自己点検実施のための体系を考察する.その体系とは,「各システムのビジネス上の利用目的の管理」,「障害イベント記録上の主要可用性指標の記述と更新」,「主要システム間および保守運用資源との影響関係の記録」の3つの「日常管理の工夫」と,これらの成果である各種可用性指標を得たシステム管理者が,システム間および物理的エリア等異種運用環境間の複雑な環境に対する効率的な問題の発見と対策の検討を目的とした「情報資産の評価を中心視点とする環境モデルの利用」である.
キーワード
可用性管理,定期自己点検,日常管理の工夫,情報資産の評価を中心視点とする環境モデルの利用