【初心者向け】情報セキュリティーについて
情報セキュリティーについて聞いたことがあると思いますが、本記事で改めて学んでいきたいと思います。
1. そもそも情報セキュリティーって何?
総務省のHPに以下の記載があります。
企業や組織における情報セキュリティとは、企業や組織の情報資産を「機密性」、「完全性」、「可用性」に関する脅威から保護することです。
情報資産とは、企業や組織などで保有している情報全般のことです。顧客情報や販売情報などの情報自体に加えて、それらを記載したファイルや電子メールなどのデータ、データが保存されているパソコンやサーバなどのコンピュータ、CD-ROMやUSBメモリ、SDカードなどの記録媒体、そして紙の資料も情報資産に含まれます。
機密性
機密性(Confidentiality)とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。
完全性
完全性(Integrity)とは、保有する情報が正確であり、完全である状態を保持することです。情報が不正に改ざんされたり、破壊されたりしないことを指します。
可用性
可用性(Availability)とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作するということを表します。
引用:情報セキュリティの概念|国民のためのサイバーセキュリティサイト
2. 情報セキュリティーにおける6つのリスク
脅威とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことで、結果的に組織や個人が保有する情報資産に対して害を及ぼす可能性のあるもののことです。
脆弱性とは、「脅威」の発生を誘引するようなセキュリティ対策上の欠落点のことで、たとえばソフトウェアやハードウェアの保守不足、不十分なパスワード管理、保護されていない通信回線などがあげられます。
情報セキュリティを構成する「脅威」「脆弱性」は、分類するとそれぞれ以下のように分けることができます。
それぞれのリスクについて詳しく解説していきます。
1.意図的脅威
意図的脅威とは、悪意ある第三者によってもたらされる行為のことです。具体例としては
-盗難
-盗聴
-情報の改ざん
-不正アクセス
-情報の不正利用
-ウイルス感染
-なりすまし
などが、意図的脅威にあたります。
また、従業員や元従業員が機密データを持ち出して、金銭に換えたり、悪用したりするといった内部不正も「意図的脅威」に含まれます。
-個人情報の漏えい
-企業の機密情報の流出
-流出した情報の不正利用
といった大規模な被害が生じる可能性が高いため、意図的脅威に対する対策を、個人も企業もしっかりと講じる必要があります。
2.偶発的脅威
偶発的脅威とは、人が意図せずに引き起こしてしまうヒューマンエラーのことです。具体例としては
-従業員がルールを守らず、外部に持ち出したパソコンや記憶媒体が盗難にあう
-ファイルサーバーの重要データを収納しているフォルダのアクセス権の設定を誤って外部から閲覧可能な状態になっている
-顧客の個人情報が保存されているUSBを紛失してしまう
-会話から情報漏えいしてしまう
などが当てはまります。
偶発的脅威が発生すると、個人情報や企業の機密情報が外部へ漏えい・流出することにつながってしまうため、ヒューマンエラーを防ぐための社内のルール作りが重要です。
3.環境的脅威
環境的脅威とは、自然や環境が原因となるセキュリティリスクのことです。-地震
-台風
-落雷
-火事
などの自然災害が当てはまります。
発生頻度は高くありませんが、発生した場合にはサーバーなどのハードウェアや電気、建物自体が使えなくなり、情報システムの停止を引き起こしてしまいます。
4.ソフトウェアの脆弱性
ソフトウェアの脆弱性とは、コンピューターのOSやソフトウェア、Webサイトにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことです。たとえば、セキュリティ対策が施されていないWebサイトを例に考えてみましょう。
サイト上で利用されている「サイト内検索」に脆弱性がある場合、悪意を持った命令が埋め込まれてしまい、偽ページが表示されるようになります。その結果、cookie情報を利用した不正アクセスやHTMLタグを使った入力フォームによる情報収集、偽サイトを使ったフィッシング詐欺などにつながるおそれがあります。
そのほかにも、メールを開封したりWebサイトを閲覧したりすることによりマルウェアに感染し、パソコンが使えなくなる、別のパソコンへ感染を広げるなどの現象が発生するリスクがあります。
5.管理文書・体制の不備
管理文書・体制の不備とは、組織や人、運用管理における脆弱性です。管理している重要なデータや書類の運用・管理体制が整っていないと、企業の機密情報や個人情報が悪意を持った人に持ち去られ、情報漏えいにつながる可能性があります。
たとえば
-サーバーが設置された部屋や、重要機密文書が保管されている部屋の施錠がされていない
-バックアップを保管するファイルサーバーの管理者が退職してしまっているのに、管理者変更が行われていない
などのように、企業の重要な情報を適切に運用・管理していないと、悪意を持った社員による重要情報の盗難や、外部の人間の侵入を許してしまいます。
6.災害やトラブルに弱い立地
災害やトラ3. マルウェアの種類
1.コンピュータウイルス
他のプログラムに寄生して、そのプログラムの動作を妨げたり、ユーザの意図に反する、有害な作用を及ぼすためのプログラムで、感染機能や自己拡散機能を持っています。
2.ボット
攻撃者からの指令により、他のコンピュータやネットワークへの攻撃や、サーバからのファイルの盗み出しなど有害な動作を行うプログラムです。
3.スパイウェア
感染したパソコンの内部情報を外部に勝手に送信するプログラムです。
4.ランサムウェア
暗号化することでファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに金銭(身代金)を要求するマルウェアを指します。
5.ファイルランサムウェア
パソコンのOSに組み込まれた正規のツールや機能を悪用する攻撃です。
6.ワーム
独立のファイルで、他のプログラムの動作を妨げたり、ユーザの意図に反する、有害な作用を及ぼすためのプログラムで、感染機能や自己拡散機能を持っています。
7.トロイの木馬
ユーザの意図に反し、攻撃者の意図する動作を侵入先のコンピュータで秘密裏に行うプログラムです。
8.RAT
物理的に離れているにもかかわらず、あたかもそのシステムに直接的にアクセスしているかのように操作を行うことを可能にするソフトウェアの総称です。
9.マクロウイルス
ワープロや表計算ソフトに付与される「マクロ機能」を悪用し、感染するマルウェア(ウイルス)のことです。
10.ガンブラー
ウェブサイトの改竄と、ウェブサイトを閲覧するだけで感染するウイルスを組み合わせ、多数のパソコンをウイルスに感染させようとする手口です。
11.キーロガー
ユーザのキーボード操作をそのまま外部に送信する。スパイウェアの一種です。
12.バックドア
PCやサーバー、システム・アプリケーションなどに不正侵入するための入口のことです。バックドアを仕掛けると、攻撃者はその後いつでも認証を回避して侵入できるようになります。
13.SPAM
スパムは「迷惑な行為」を意味します。掲示板やチャットに迷惑なメッセージを拡散し続けるものや、検索エンジンの検索上位に迷惑なメッセージを表示させるもの、情報を改ざんしてしまうもの、そして不特定多数の人にメッセージをばら撒く迷惑メール等があります。
4. 最後に
今回勉強して、いろんな脅威があることを知りました。
ソフトウェアを常にアップデートする等対策して日頃から注意していきたいです。
最後まで読んで頂きありがとうございました。