Untitled

１．１．２　セキュリティとは

「セキュリティ(Security)」とは、「防護、保護、安心、無事、安全、保証」などの意味を持っている。

情報システムにおけるセキュリティとは、

(1)何を（保護対象）
(2)何から（脅威）
(3)何によって（セキュリティ対策）

守るか考察し、情報システムの安全性を確保しようとするものである。

(1)保護対象
a.要員
オペレータ、データ入力担当者、開発担当者、その他事務的業務に携わっている人員も含む
b.ハードウェア
ＣＰＵ、入出力装置、通信設備、通信回線、電源設備、空調設備、磁気媒体等
c.ソフトウェア
Ｏ／Ｓ、ユーティリティプログラム、アプリケーションプログラム等
d.データ
データベース、通常ファイルその他データ

(2)脅威
セキュリティを脅かすものを「脅威」と呼ぶ。この脅威が現実の損失に結びつく危　　険性の概念を「リスク」と呼ぶ。
a.災害
不可避の、自然現象による被害、不慮の事故
b.故障
さまざまな要因によるシステムの物理的な停止、障害
c.エラー
人の不注意、要員教育の不足、マニュアル不備による入力ミス、操作ミス等
d.不正、犯罪
人の意識的な悪意によるシステムの物理的、機能的危機

(3)セキュリティ対策
a.物理的対策
建物立地条件の選択、建物構造上の対策、検知機および報知器の設置等
b.管理的対策
入退管理、システムの運用管理、データおよびプログラムの管理等
c.技術的対策
パスワード、端末機識別、モニタリング機能、暗号化等

１．１．３　安全対策基準の必要性

(1)安全対策基準策定のポイント
a.企業の公共性
b.経営管理上の位置づけ
・経営判断
c.新サービス対応への拡張準備
・将来を見据えた長期的展望
d.企業収益に対する安全基準維持費の割合のバランス
・企業としての適正な費用負担
・投資をすべきポイントの選択

１．１．４　安全の期待度

　安全対策を検討する上で、まずどの程度の安全が保証されればよしとするか決定しなければならない。そのためには、何段階かの安全の期待度を想定し、そのうちどれを選ぶか決めていく必要がある。富士通メインフレームの基準としては以下のような例が挙げられている。

【安全期待度１】
災害が発生しても支障なく業務を継続できる
最も期待度の高い対策で多岐にわたる技術的、経済的な検討が必要である。

【安全期待度２】
災害が発生したら業務を停止するが、鎮静後は直ちに再開できる
災害中に電子計算機システムを運用していることにより生ずるエラーや誤動作、および関連設備を運転しているために誘発される災害から守るため、一時的に業務を停止する。しかし、大抵の災害では物的、質的損傷を受けないで済む程度。

【安全期待度３】
災害により多少の被害を受けるが、短時間で復旧し、業務を再開できる
災害中は業務を停止し、また若干の物的質的損傷を受ける程度。

【安全期待度４】
かなりの被害を受け、復旧するには時間がかかる
電子計算機システムの中断が当事者以外に影響することなく、復旧するまで待つことができる業務の場合に期待してよい程度。

【安全期待度５】
壊滅的に被害を受け、復旧はほとんど望めない
０の期待度（最低）で、当然避けるべき程度。

１．１．５　安全対策の将来的発展性

　トータル的な観点から、費用対効果や企業の性格、経営層の希望をかんがみた上で、１．１．３で示した安全対策基準の必要性を満足する対策をとることが目的となる。
究極的な理想としては、以下のような案が考えられる。
・フォールトトレラントシステムの構築
・システム、ネットワークの二重化（東京、大阪デュアルセンタ化など）
・バックアップデータの完全外部保管
・トータル的な専用のバックアップセンタの確保
・予防的措置の事前体制づくり
・計算センタにおける物理的セキュリティの実現
・ソフトウェアによるシステムセキュリティの実現
これらを、全て完ぺきに行おうとすることは、膨大な費用を要し、どこまでやれば安心という保証もない。やはりその組織の現状を充分考慮し、現実ににあった妥当な対応をおこなうべきである。

情報技術スキルアップの種のページへ

GLORY's OFFICEへ