情報セキュリティにおいて守るべき資産を情報資産といいます。情報資産をどのようにとらえるかにより、情報セキュリティの概念が変わります。コンピュータやネットワークを悪用されることを防ぐとか、そこに存在するデータを保護することに限定することもあります(これを「情報システム」セキュリティとしましょう)し、重要書類を机の上に放置したために盗見をされたとか、電車の中で同僚が秘密事項をしゃべったのが他人に聞かれたというようなことも対象にすることもあります。本来の情報セキュリティとは、このように広い観点で考えることが必要です。☆
インターネット取引など社外とのネットワークに接続していれば、それだけ外部からの脅威も多くなります。また、社内での利用者が多ければ、過失や故意によるトラブルも増加します。このように、また、情報システム「セキュリティ」は、情報システムの適用業務やその利用形態に大きく影響するので、セキュリティ対策は情報システム全体の一部として考える必要があります。
自然災害
災害では、コンピュータセンターが対象になります。発生したときの被害が大きいので、事業継続計画の一環として取り組むべきです。代替センターの設置、データの遠隔地保管などの対策が必要です。小規模災害の対策としては、機器や回線の二重化が求められます。
- 建物・立地
コンピュータセンターは、火災、地震、水害、雷害などの発生しにくい地域や場所に立地し、それらに耐える建造物にすること。
- 火災
防火壁の設置、可燃物(印刷用紙など)保管部分の遮断、高感度煙監視システムと自動火災報知システムの設置
消火に水や泡は使えない。フッ化炭化水素系、不活性ガス、窒素富化空気などの消火剤を用いる
- 地震
ラック内に設置されている機器の落下が多い。
耐震:頑丈な構造で建物自体は揺れに耐える
免震:免震ゴムや、すべり支承などの免震装置で揺れを抑える。免震フリーアクセス床など
制震:制震ダンパーで揺れを抑える。転倒防止
- 水害
2階以上に設置、排水設備
- 雷・停電
雷サージ:雷による一時的に発生する異常な過電圧や過電流
無停電電源装置(UPS):短時間の給電
自家発電装置:長時間の給電
複数の電源系統
設備・機器の物理的セキュリティ
故意 過失
侵入
破壊 破損
盗難 紛失
- コンピュータセンター不正侵入
コンピュータセンターの表示をしない(住所表記、看板など)
入退室の監視・管理、本人認証(入館証、生体認証)
→参照:入退室での本人認証
- 機器の破壊・破損
監視カメラなど、重要ボタンのカバーなどの設置
- 機器の盗難・紛失
収納庫施錠、盗難防止チェーンなど
遠隔からの機器の位置確認、MDM(モバイル端末の遠隔地管理)、ハードディスクパスワード、データの暗号化など
→参照:パソコンのセキュリティ管理
- 機器の故障(ハードウェア保守)
保守が重要になります。
→参照:ハードウェアの保守
論理的セキュリティ(過失)
- システムのエラー、誤謬
運用時になってシステムのエラーが発見されることが多い。早期発見、緊急対応が重要
誤謬:思い違いのこと。要件定義が不十分なことに起因する、発注者と受注者の解釈の違い。発見が遅れることが多い。
→参照:要件定義の重要性
- 誤操作
システム自体は正常であっても、誤ったデータが入力されたことに起因するトラブルが発生します。それを発見して警告する仕組みを組み入れることが必要です。
→参照:入力データ管理
論理的セキュリティ(故意)不正利用
ウイルス感染やネットでの騙しの手口など。外部からの攻撃だけでなく内部の不正もあります。セキュリティ対策の主要分野です。本シリーズ「Web教材」でも大きな分野になっています。
→参照:情報セキュリティ
なりすまし
単純にいえば「オレオレ詐欺」のデジタル版です。信用のある個人や組織を騙る(なりすます)ことにより、悪意のあるWebサイトやメールアドレスに誘導することです。
例えば、銀行からのメールだとして、正規の銀行のWebページにそっくりの悪意のページに誘導して口座番号やパスワードを窃取する。関係官庁になりすましたメールを送り付けて、重要な情報を聞き出したり、ウイルスに感染させたりする。などの手口があります。
なりすましをするには、何らかの手段により、他人のユーザIDやパスワードを窃取する必要があり、多様な手口があります。
他人のユーザIDやパスワードを窃取することは、不正アクセス禁止法で禁止されています。
しかし、防衛策として、窃取されにくいパスワードの設定や、パスワードの管理パスワードの管理などを講じることが重要です。
不正利用による被害
- ウイルス等の感染
多様なウイルスがあり、多様な感染経路があります。ウイルスは感染したパソコン等に被害を与えますが、近年のウイルスは、感染したパソコン等を標的となる第三者のシステム攻撃の踏み台にすることが多くなっており、ウイルス対策は社会への責任だとされるようになってきました。
- 業務妨害(DoS攻撃)
第三者のシステム攻撃の踏み台にする代表的なものにDoS攻撃(Denial of Service attack:・サービス拒否攻撃)があります。踏み台にした多数のパソコン等から標的サーバ一斉に大量のデータを送り付けてサーバの機能を麻痺させ、本来の業務をできなくする攻撃です。
- Webページの改ざん
他者のWebページを不正に書換えてしまう手口です。愉快目的や自己顕示目的もありますが、近年は深刻な状況になってきました。
- 悪意サイトへの誘導
銀行のWebサイトを改ざんして、入力情報を悪意のあるサイトに転送するなどです。
- 政治的目的
行政サイトや公共サイトのWebページを特定の主義の主張に改ざんします。また、偽情報に改ざんして社会的混乱を目的とするものもあります。
- 電子メールの改ざん
商品の届け先を改ざんして商品を盗むとか、注文数量を大量に改ざんして損害を与えたりします。
深刻なのは、電文の大部分を書き換えた偽情報を送り付け、意図した行動を行わせることもあります。
ハイブリッド暗号方式(KPI方式)による暗号化・電子署名を行うことにより、なりすましと改ざんを発見することだできます。
- 情報漏えい
個人情報や技術情報などを不正に入手あるいは提供することです。
- 不正入手
インターネットから社内ネットワークに不正侵入して社内システムを探索して重要な情報を取り出す手口です。
- 情報漏えい
主に内部犯行あるいは誤操作です。重要ファイルのアクセス権を間違い公開環境にしてしまった、電子メールでの送信先を間違い重要情報を送ってしまったなどです。