セキュリティプロダクツの選択・導入は、セキュリティポリシーに基づいた運用の徹底が必要です。安易な製品の導入は、導入後に機能しない恐れがあります。
セキュリティポリシーに基づいたプロダクツの選択が主要
情報資産に村する企業方針である「セキュリティポリシー」を策定したら、次は、このポリシーを指標にしたセキュリティプロダクツの選択・導入に移ります。重要なのは、最初に方針(ポリシー)があり、次にプロダクツという順番です。
上下関係といっても構いません。セキュリティプロダクツだけでは、セキュリティは成立しません。セキュリティプロダクツの導入は、ポリシーを実現するための「技術的な手段」でしかありません。ポリシーに基づくプロダクツの選択が重要であり、プロダクトに振り回されない導入が必要です。
各種セキュリティプロダクツ
セキュリティプロダクツには、どのようなものがあるのでしょうか。セキュリティプロダクツには、大きく分けて、
- データの喪失に備えるもの
- 情報の出入口を監視するもの
- 情報の信憑性を確保するもの
の3 つがあります。
データの喪失に備えるには、バックアップ装置や無停電電源装置(U P S )があります。万が一、データを喪失してしまったときには、セキュリティ保険やデータリカバリーといったサービスも提供されています。情報の出入口を監視するものとしては、本章で後述するプロキシサーバーやファイアウォール、コンテンツフィルタがあります。いずれも情報の出入口に設置され、通過する情報を監視する装置ですから、非常によく似ています。
ファイアウォール並みのセキュリティを提供するプロキシサーバーや、コンテンツフィルタの機能を有するプロキシサーバーもあります。情報の信僚性を確保するには、本人認証とメッセージ認証があります。本人認証の技術、中でも最も有効なワンタイムパスワードについては欠かせません。
コメント