【初心者向け】情報セキュリティの基礎
IT業界で働くうえでかかせない、情報セキュリティについてまとめました。
情報セキュリティの知識が不足していると、重大なセキュリティ事故を起こし、損害賠償などになりかねません。
ぜひ気を引き締めて最後までお読みください!
1. 情報セキュリティとは
情報セキュリティとは、サイバー攻撃などから情報資産を守ることです。
また、情報セキュリティを脅かすリスクのことを、「脅威」といいます。
1-1. サイバー攻撃とは
サイバー攻撃とは、国や企業、個人のシステムのデータを、破壊したり改ざんしたり盗んだりしたりする行為のことをいいます。
2. 人的脅威
人的脅威とは、操作ミスや内部不正など、人によって引き起こされる脅威のことをいいます。
具体的な例には、以下のようなものがあります。
2-1. ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、パスワードなどの機密情報を情報通信技術を使わずに入手する方法のことです。
具体的な例には、以下のようなものがあります。
・システムの担当者を装って電話をかけ、システムにログインするためのIDとパスワードを聞き出す
・ディスプレイなどに貼り付けられているパスワードが記載された付箋を盗み見る
・ゴミ箱に捨てられた書類から機密情報を盗み出す
3. 技術的脅威
技術的脅威とは、技術的な手段によって引き起こされる脅威のことです。
具体的な例には、以下のようなものがあります。
3-1. 攻撃される前
セキュリティホール
セキュリティホールとは、OSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生したセキュリティ上の欠陥のことです。
セキュリティホールは、「脆弱性」ともいいます。
セキュリティホールを放置しておくと、攻撃者に悪用されてしまう危険性があります。
ポートスキャン
ポートスキャンとは、サーバーの各ポートにデータを送信し、その応答から稼働状況を調べる方法のことです。
開放されているポートを調べる行為で、違法なものではありませんが、攻撃の事前準備としておこなわれることが多いため注意が必要です。
3-2. マルウェアを使った攻撃
ボット
ボットとは、コンピュータを外部から遠隔操作するためのコンピュータウイルスのことです。ボットは、ロボットの略称です。
ボットに感染させた攻撃者は、ボットに感染したコンピュータを遠隔操作することで、迷惑メールの配信やサーバーへの攻撃などをおこないます。
スパイウェア
スパイウェアとは、利用者に気付かれないように個人情報などを収集するプログラムのことです。
一般的には、そのようなソフトウェアがインストールされていることや動作していることに利用者が気付いていない状態で自動的に情報を送信するソフトウェアを、スパイウェアと呼びます。
ランサムウェア
ランサムウェアとは、コンピュータやファイルを使用不能にして、元に戻すことと引き換えに身代金を要求するプログラムのことです。
身代金を支払ってもコンピュータやファイルが元に戻る保証はありません!
キーロガー
キーロガーとは、キーボードの入力を記録するプログラムのことです。
本来はソフトウェアの動作確認などに使用するものですが、攻撃者はキーロガーを悪用し、利用者の個人情報(パスワードや機密情報など)を盗みます。
バックドア
バックドアとは、システムに不正アクセスするための裏口のことです。
攻撃者は、システムに侵入成功したあと、いつでも簡単に侵入できるように裏口を仕掛けます。
3-3. IDやパスワードを割り出す攻撃
ブルートフォース攻撃
ブルートフォース攻撃とは、考えられるパスワードのパターンすべてを入力する攻撃のことです。「総当たり攻撃」ともいいます。
辞書攻撃
辞書攻撃とは、辞書に載っている単語や人物名などを組み合わせたものをパスワードに使用してログインを試みる攻撃のことです。
パスワードリスト攻撃
パスワードリスト攻撃とは、他のサービスから不正に入手したIDやパスワードの一覧を使用して、ログインを試みる攻撃のことです。
パスワードリスト攻撃を防ぐためには、異なるサービスでパスワードを使いまわさないことが大切です。
フィッシング
フィッシングとは、利用者を偽のサイトに誘導し、個人情報を入力させて不正に取得することをいいます。
近頃のフィッシングサイトは非常によくできており、本物と見分けがつかないことも多いです。
3-4. その他の攻撃
DoS攻撃
DoS攻撃とは、メールやWebサーバへのリクエストを大量に送りつけ、サービスを提供不可にする攻撃のことです。
DoS攻撃では、国や企業、個人など、あらゆるサーバを標的にします。
攻撃理由はさまざまですが、主なものに抗議や嫌がらせ、愉快犯、脅迫などがあります。
ディレクトリトラバーサル
ディレクトリトラバーサルとは、ファイルの参照の仕組みを悪用した攻撃のことです。
攻撃者はパスを使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧します。
ドライブバイダウンロード
ドライブバイダウンロードとは、利用者がWebサイトを閲覧した際に、勝手にマルウェアなどの悪意のあるプログラムをダウンロードさせる攻撃のことです。
SEOポイズニング
SEOポイズニングとは、検索エンジンの検索結果の上位に不正なサイトのページを表示させ、より多くの利用者に閲覧させることです。
SEOとは、Search Engine Optimizationの略で「検索エンジン最適化」を意味します。
DNSキャッシュポイズニング
DNSキャッシュポイズニングとは、DNSサーバにキャッシュされているドメイン名とIPアドレスの対応を書き換え、利用者を偽サイトに誘導する仕組みのことです。
<h4>SQLインジェクション</h4>
SQLインジェクションとは、不正なSQLを実行し、データベースを改ざんしたり不正にデータを取得したりする攻撃のことです。
インジェクションとは、「注入」を意味します。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティングとは、Webサイトの脆弱性を悪用して罠を仕掛けて攻撃者が悪質なサイトへ誘導するスクリプトを実行し、サイトに訪れる利用者の個人情報などを詐取するサイバー攻撃のことです。
サイトを横断(クロスサイト)することから、クロスサイトスクリプティング(cross site scripting)と呼ばれます。
4. 物理的脅威
物理的脅威とは、ネットワークを使わない手段によって引き起こされる脅威のことです。
具体的な例には、以下のようなものがあります。
・地震
・火事
・落雷
・洪水
・侵入
・盗難 など…
物理的脅威は、人的脅威や技術的脅威に比べると発生する機会は多くありませんが、重大な被害になる場合が多いので注意しなければなりません。
5. おわりに
今回は、IT業界で働くうえでかかせない、情報セキュリティについてまとめました。
サイバー攻撃は、年々巧妙化しています。
重大なセキュリティ事故を起こさないよう、引き続きセキュリティについて学んでいきましょう!
参考記事
https://ja.wikipedia.org/wiki/%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3
https://www.w3schools.com/cybersecurity/
https://www.javatpoint.com/types-of-cyber-attacks