情報システムが持つ脆弱性の特徴<情報倫理・セキュリティ<Web教材<木暮

Web教材一覧情報倫理・セキュリティ

情報システムが持つ脆弱性の特徴

キーワード

情報システム、脆弱性、被害の特徴


情報セキュリティ対策を検討するには、情報システムが持つ脆弱性の特徴を理解することが必要です。ここでは、情報システムが持つ脆弱性の特徴を、物理的な犯罪と比較して説明します。

脅威がインシデントとして発生したときの情報システムでの特徴を、物理的な犯罪と比較して説明します。

被害の甚大性
簡単な手段で大規模の犯行ができます。一本の電線を切断しただけで通信を麻痺させられるし、簡単な操作で数百万件にもおよぶデータを消滅できます。情報システムが他人の財産や情報を取扱うことが多くなりましたので、その被害は社会的に大きな影響を及ぼします。
被害の即時性
金庫に入っている数十億円の札束を盗むには、それなりの道具と時間が必要です。ところが、コンピュータにある情報は、パソコンさえあれば地球の裏側からインターネットにより企業内のネットワークに侵入し、大量の重要なデータを一瞬のうちに破壊したり取り出したりすることができます。
犯行の遠隔性
通常の犯罪では、犯人が犯行現場にいる必要があります。それに対してネットワークを用いた犯罪では遠隔地から犯行できるし、プログラムの実行による犯罪では時間的にも犯罪場所にいる必要がありません。アリバイの意味があいまいになります。
追跡の困難性
物理的な犯罪では指紋や足跡など多くの痕跡が残りますが、情報システムによる犯罪では、その痕跡はログ程度しかないし、ログを残さないような手口もあります。
被害発見の困難性
多くの預金口座から利子の端数を特定の口座に入れて横領する犯罪などのように、犯行が発生したことすら発見しにくい犯罪もあります。すなわち、完全犯罪を行いやすい環境なのです。

ここで重要なのは、このような脅威から保護する手段が通常の感覚と異なるので、頭では理解しても日常行動ではとかくおろそかになりがちだということです。自宅を留守にするときは鍵をかけることや、会社で高額小切手を机上に放置したまま帰宅しないことは本能的にすらなっているでしょう。ところが、自分のパスワードを秘密にしたり、機密データをアクセスできないようにしたり暗号化したりすることを、無意識でも行うようにはなっていません。そのために、通常以上にルールを作り守らせることが必要なのです。


本シリーズの目次へ