Windows XP 用として作成されたほとんどのプログラムはこのバージョンの Windows でも動作しますが、古いプログラムの中には、うまく動作しないもの、またはまったく動作しないものがあります。以前のバージョンの Windows 用として作成されたプログラムが正常に動作しない場合は、プログラム互換性ウィザードを使用して、そのプログラムの互換性設定を変更してください。プログラムの設定を手動で変更するには、個々のプログラムの [互換性] タブを使用します。
http://windowshelp.microsoft.com/Windows/ja-JP/help/bf416877-c83f-4476-a3da-8ec98dcf5f101041.mspx
http://windowshelp.microsoft.com/Windows/ja-JP/help/bf416877-c83f-4476-a3da-8ec98dcf5f101041.mspx
セキュリティレベルの監査
現状の弱点およびセキュリティホールを知るための監査である。
あらゆる不正アクセスの手口を検証するために、現在知られているすべての不正アクセス手口を自動的に試してくれるソフトウェア(攻撃シミュレータによる擬似アタック手法)を利用するのが一般的である。ただし、ハッカー自身も攻撃シミュレータによる監査手法を研究していることもあるので、それ以外の手口で攻撃される可能性を考慮する必要がある。
運用状況の監査
利用者によるルール違反があるかを監査する。例えば、利用者が安易なパスワードを使っていないかチェックするために、「パスワードクラッカー」と呼ばれるツールを使用する。これは膨大な単語辞書を使ってパスワードを推測するものである。ルールが利用者にとって実行困難であるがゆえに、うまく運用されないこともある。その場合は、対策方法を改善するか、ルールの見直しが必要となる。
現状の弱点およびセキュリティホールを知るための監査である。
あらゆる不正アクセスの手口を検証するために、現在知られているすべての不正アクセス手口を自動的に試してくれるソフトウェア(攻撃シミュレータによる擬似アタック手法)を利用するのが一般的である。ただし、ハッカー自身も攻撃シミュレータによる監査手法を研究していることもあるので、それ以外の手口で攻撃される可能性を考慮する必要がある。
運用状況の監査
利用者によるルール違反があるかを監査する。例えば、利用者が安易なパスワードを使っていないかチェックするために、「パスワードクラッカー」と呼ばれるツールを使用する。これは膨大な単語辞書を使ってパスワードを推測するものである。ルールが利用者にとって実行困難であるがゆえに、うまく運用されないこともある。その場合は、対策方法を改善するか、ルールの見直しが必要となる。
セキュリティポリシーをベースに、実装レベルでのセキュリティ対策が作成される。これらひとつひとつの要素が、技術的あるいは制度的にうまく機能しているかどうかを検証していくことをセキュリティ監査という。
セキュリティレベルの監査
セキュリティ対策が偏っていないかどうか、ソフトウェアの設定ミスやバグによるセキュリティホールが存在しないかを監査する。例えば、システム担当者の在籍する本社では強固な対策が取られていたとしても、支社や営業所でいいかげんな対策や対応がされていれば、全体のセキュリティレベルは低下する。バランスのとれたセキュリティ対策が必要である。
運用状況の監査
セキュリティポリシーで定められたポリシーとルールに沿って、きちんと運用が実施されているかどうかを評価する。
具体的には「セキュリティ対策の実装」と「セキュリティ監視」を繰り返し行なうことで安全性を高めていく。実際に損害が発生する前に、実装されている対策の見直しや、ルールの見直しを行なうことが重要となる。
セキュリティレベルの監査
セキュリティ対策が偏っていないかどうか、ソフトウェアの設定ミスやバグによるセキュリティホールが存在しないかを監査する。例えば、システム担当者の在籍する本社では強固な対策が取られていたとしても、支社や営業所でいいかげんな対策や対応がされていれば、全体のセキュリティレベルは低下する。バランスのとれたセキュリティ対策が必要である。
運用状況の監査
セキュリティポリシーで定められたポリシーとルールに沿って、きちんと運用が実施されているかどうかを評価する。
具体的には「セキュリティ対策の実装」と「セキュリティ監視」を繰り返し行なうことで安全性を高めていく。実際に損害が発生する前に、実装されている対策の見直しや、ルールの見直しを行なうことが重要となる。
リスク分析手法は、「定量的方法」と「定性的方法」の2つに分かれる。
定量的方法
定量的方法は、リスクによる予想損失を金額で把握する方法である。米国では商務省標準局の定める推奨方式があり、さまざまな費用項目から予想損失額を求めることが一般的となっている。日本においても、こういった費用を明らかにするために、近年TCO(Total Cost of Ownership)の推進が叫ばれるようになってきた。定量的方法と定性的方法を組み合わせることで、リスク分析を実施するべきである。
年間予想損失額の算出 米国商務省標準局の推奨方式
式のf と i の値は、過去の実績等のデータから妥当と思われる値を選択する。リスクへの対策を取る前後で年間予想損失額がどのように変化するのかを比較することで、リスク対策に割くべき予算の妥当性を検証できる。
定性的方法
損失の大小を指標で把握する方法である。利用者に質問することで得点を算出する方法や、ディスカッションによって組織全体の弱点と脅威を抽出してリスクを分析する方法がある。
定量的方法
定量的方法は、リスクによる予想損失を金額で把握する方法である。米国では商務省標準局の定める推奨方式があり、さまざまな費用項目から予想損失額を求めることが一般的となっている。日本においても、こういった費用を明らかにするために、近年TCO(Total Cost of Ownership)の推進が叫ばれるようになってきた。定量的方法と定性的方法を組み合わせることで、リスク分析を実施するべきである。
年間予想損失額の算出 米国商務省標準局の推奨方式
式のf と i の値は、過去の実績等のデータから妥当と思われる値を選択する。リスクへの対策を取る前後で年間予想損失額がどのように変化するのかを比較することで、リスク対策に割くべき予算の妥当性を検証できる。
定性的方法
損失の大小を指標で把握する方法である。利用者に質問することで得点を算出する方法や、ディスカッションによって組織全体の弱点と脅威を抽出してリスクを分析する方法がある。
リスク分析の注意点として以下のものがあげられる。
継続的な分析
環境の変化にともないリスクの詳細も変化する。あるリスクが大きくなることもあれば、その逆もあり得る。新たに発生するリスクもあれば、従来リスクと考えられていたものがなくなるケースもある。したがって、環境の変化にあわせた継続的なリスク分析が重要である。
外部専門業者との共同作業
セキュリティについての概念や技術的な詳細について熟知した管理者がいない場合は、外部のコンサルタントとうまく連携して作業を進めるケースもある。
リスクの優先度の評価
リスク分析によってリスクの詳細が明確になれば、その対策をルールとして記述していく作業へと移行する。
リスクの絞込み
組織の大きさにもよるが、分析の中で多くのリスク項目が列挙されるはずである。それらの項目を優先度に応じて絞り込んでいく必要がある。
継続的な分析
環境の変化にともないリスクの詳細も変化する。あるリスクが大きくなることもあれば、その逆もあり得る。新たに発生するリスクもあれば、従来リスクと考えられていたものがなくなるケースもある。したがって、環境の変化にあわせた継続的なリスク分析が重要である。
外部専門業者との共同作業
セキュリティについての概念や技術的な詳細について熟知した管理者がいない場合は、外部のコンサルタントとうまく連携して作業を進めるケースもある。
リスクの優先度の評価
リスク分析によってリスクの詳細が明確になれば、その対策をルールとして記述していく作業へと移行する。
リスクの絞込み
組織の大きさにもよるが、分析の中で多くのリスク項目が列挙されるはずである。それらの項目を優先度に応じて絞り込んでいく必要がある。
「リスク分析」とは、「組織にとって重要な情報資産は何か」「それにはどのようなリスクがあるのか」「何を優先的に守る必要があるのか」について、それぞれ判断することである。
リスク分析では、守るべきものを「資産」、資産を脅かすものを「脅威」に分けて評価していく。
資産の評価
資産には大きく分けて「目に見えるもの」と「目に見えないもの」がある。目に見えるものは、そのものを購入あるいは作成、開発するのに直接関わった費用と、それらを維持管理する費用がその評価価値といえる。
目に見えないものとしては、業務の停止によって発生するコストや、社会的イメージの失墜による損害額のように、金額として算出しにくいものを指す。
脅威の評価
どのような脅威が存在するか、または損害をこうむる可能性があるかどうかを検討する。損害を被るケースについては、その被害の大きさを予想することで、脅威の大きさを評価とする。
リスク分析では、守るべきものを「資産」、資産を脅かすものを「脅威」に分けて評価していく。
資産の評価
資産には大きく分けて「目に見えるもの」と「目に見えないもの」がある。目に見えるものは、そのものを購入あるいは作成、開発するのに直接関わった費用と、それらを維持管理する費用がその評価価値といえる。
目に見えないものとしては、業務の停止によって発生するコストや、社会的イメージの失墜による損害額のように、金額として算出しにくいものを指す。
脅威の評価
どのような脅威が存在するか、または損害をこうむる可能性があるかどうかを検討する。損害を被るケースについては、その被害の大きさを予想することで、脅威の大きさを評価とする。
不正発見の可能性を増やすために検討すべき事項は「アクセスコントロール」と「アカウントコントロール」の2点である。
■アクセスコントロール
アクセスコントロールは、各情報の重要性を判断して、情報にアクセスできる人間を限定することを目的とする。各情報を機密度によって分類し、どのユーザーをどの情報にアクセスさせるべきかどうかを検討する。
機密区分によるアクセスコントロール
情報を機密度に応じて分類し、機密レベルごとにセキュリティを確保する方法を取り決める。
職階・職掌によるアクセスコントロール
利用者に応じて、どのレベルの情報にアクセスできるかを決める。
規定外の利用についてはその申請・承認方法を明確にすることでアクセスコントロールに柔軟性を持たせる。
■アカウントコントロール
アカウントコントロールとは、ポリシーの標準化や規定化を行なうことを指す。各部門のポリシーや職階ごとのルールをある程度統一する(標準化を行なう)ことで、標準からはずれた場合をすばやく検知できるようになる。具体的にはルールなどを記した文書類の標準化や、情報の操作方法の標準化などが挙げられる。
■アクセスコントロール
アクセスコントロールは、各情報の重要性を判断して、情報にアクセスできる人間を限定することを目的とする。各情報を機密度によって分類し、どのユーザーをどの情報にアクセスさせるべきかどうかを検討する。
機密区分によるアクセスコントロール
情報を機密度に応じて分類し、機密レベルごとにセキュリティを確保する方法を取り決める。
職階・職掌によるアクセスコントロール
利用者に応じて、どのレベルの情報にアクセスできるかを決める。
規定外の利用についてはその申請・承認方法を明確にすることでアクセスコントロールに柔軟性を持たせる。
■アカウントコントロール
アカウントコントロールとは、ポリシーの標準化や規定化を行なうことを指す。各部門のポリシーや職階ごとのルールをある程度統一する(標準化を行なう)ことで、標準からはずれた場合をすばやく検知できるようになる。具体的にはルールなどを記した文書類の標準化や、情報の操作方法の標準化などが挙げられる。
不正発生の可能性を減らすために検討すべき事項は「マネジメントコントロール」と「セルフコントロール」の2点である。
■マネジメントコントロール
マネジメントコントロールでは、組織内の情報の扱い方を明確にする。マネジメントコントロールの対象は大きく以下の3つに分けられる。
情報所有者
組織の中で、その情報について責任を持つ部門や人のことを指す。情報所有者は情報の内容と重要性や価値をもっとも良く知っている部門や人であり、その情報の取り扱い方を決定できる。
情報利用者
情報利用者は、情報所有者の承認を得て情報を利用する。通常情報利用者には、その情報の「読み取り」は許可されても、「更新」が許可されないケースが多い。
情報サービス部門
いわゆるコンピュータ部門で、情報所有者および情報利用者に対して、情報をやりとりできる手段を提供する。それぞれが望む品質で情報提供する任務を持っている。
■セルフコントロール
セルフコントロールでは、組織の人間ひとりひとりを教育、啓蒙し、情報に対するモラルを高めることを大きな目的とする。
ネットワーク犯罪の半分以上は内部の人間による犯行である。特に、現在のインターネットに見られるような匿名性の高いバーチャルな世界においては、利用者個々の意識が重要である。
セルフコントロールのための教育を上手に行なえれば、内部犯行をかなりの部分まで減らすことが可能となる。
■マネジメントコントロール
マネジメントコントロールでは、組織内の情報の扱い方を明確にする。マネジメントコントロールの対象は大きく以下の3つに分けられる。
情報所有者
組織の中で、その情報について責任を持つ部門や人のことを指す。情報所有者は情報の内容と重要性や価値をもっとも良く知っている部門や人であり、その情報の取り扱い方を決定できる。
情報利用者
情報利用者は、情報所有者の承認を得て情報を利用する。通常情報利用者には、その情報の「読み取り」は許可されても、「更新」が許可されないケースが多い。
情報サービス部門
いわゆるコンピュータ部門で、情報所有者および情報利用者に対して、情報をやりとりできる手段を提供する。それぞれが望む品質で情報提供する任務を持っている。
■セルフコントロール
セルフコントロールでは、組織の人間ひとりひとりを教育、啓蒙し、情報に対するモラルを高めることを大きな目的とする。
ネットワーク犯罪の半分以上は内部の人間による犯行である。特に、現在のインターネットに見られるような匿名性の高いバーチャルな世界においては、利用者個々の意識が重要である。
セルフコントロールのための教育を上手に行なえれば、内部犯行をかなりの部分まで減らすことが可能となる。
ネットワークセキュリティを維持するために、セキュリティ技術は大変重要な役割を担っている。しかし、既存のネットワークにセキュリティ技術を導入するだけでは、セキュリティを適切に確保することはできない。
セキュリティを確保するためには、さまざまな意味での「コントロール」が必要となる。
不正発生の可能性を減らす
業務上の役割を大別した上で、業務遂行基準を設定する(これをマネジメントコントロールと呼ぶ)。これによって組織内の情報伝達方法が明確になり、モラルや忠誠心の向上(セルフコントロール)も期待できる。
不正発見の可能性を増やす
アクセスコントロールやアカウントコントロールによって、適切な資格を持つ人だけが情報を利用できるようにする必要がある。これについては、標準化や規定化を行なうことも重要である。
損失からの回復を助ける
何らかのトラブルでネットワークやサーバが利用不能になった場合、復旧までの時間をできるかぎり短くするための対策(リカバリコントロール)が必要である。
セキュリティを確保するためには、さまざまな意味での「コントロール」が必要となる。
不正発生の可能性を減らす
業務上の役割を大別した上で、業務遂行基準を設定する(これをマネジメントコントロールと呼ぶ)。これによって組織内の情報伝達方法が明確になり、モラルや忠誠心の向上(セルフコントロール)も期待できる。
不正発見の可能性を増やす
アクセスコントロールやアカウントコントロールによって、適切な資格を持つ人だけが情報を利用できるようにする必要がある。これについては、標準化や規定化を行なうことも重要である。
損失からの回復を助ける
何らかのトラブルでネットワークやサーバが利用不能になった場合、復旧までの時間をできるかぎり短くするための対策(リカバリコントロール)が必要である。