情報セキュリティには人が最重要なのを再認識する。3つの要素はBalanceを取るのが難しいなあと感じる。
情報セキュリティ。設定管理。
情報セキュリティの3つの要素。機密性。完全性。可用性。どれも重要。最先端を把握するのは難しい。セキュリティ要求。ベンダーはシステム要件を提案。
情報セキュリティポリシー。各組織の構成員をインシデントから守るための大方針。法律や規模、種類によって状況は異なる。何を想定するか?首長や議員の意向も。各組織が自主的能動的に。セキュリティが守られている?楽に作れるように。雛形を作っておいて、各企業で入れ替える。高等教育機関の情報セキュリティポリシー。国立情報学研究所。サンプル規定集。Balance良く。具体例。運用基本方針。憲法に近い。運用基本規定。実施手順。
組織体制。システムには人が含まれる。責任者。CEO。補佐するのがCIO。専任職としておくところも。専門性が期待される。CISO。セキュリティ専門。現場の情報セキュリティ技術担当者。各部署に1人以上は置きたい。通常もの運用と緊急時の運用。可用性。自然災害やコンピュータウイルス。ランサムウェア。想定内のものはセキュリティポリシーに入れておくべき。
アセットを考察。アセット管理。機密性の確保。認証を必要とする人は?ネットワークに接続する場合は?物理的に制限。LANケーブルで。特定の部屋で。LANケーブルを抜けないようにするなど。ICカードで人間の出入りを制限。USB持出禁止など。機器のアドレスを利用する。MACアドレスを予め登録。変更できる場合は?最近は使われない。公衆無線LAN。PPPoE。機械を管理するよりは人を管理。検疫と認証。コンピュータウイルスが見つかったら切り離す。
放送大学の書きなぐりのまとめページは、https://blog.kaname-fujita.work/openuniversity