情報セキュリティ基礎 [1-2 情報資産・脅威・脆弱性]
1-2-1 情報資産・脅威・脆弱性の関係
情報資産と脅威
情報セキュリティを考える上で最も重要なのは、守るべき範囲を決定すること。守るべき対象が明確化されていなければ、それを適切に保護していくことは不可能。
したがってセキュリティ対策を考える際にはまず自社がもつ情報セキュリティの中で保護されるべき対象を洗い出す。これを情報資産とよぶ。
脆弱性の存在
情報資産に対して脅威があるだけではリスクは顕在化しない。
リスクを顕在化させる状況のことを脆弱性と呼ぶ。
脅威が存在しても、脆弱性がなければリスクは現実のものにならない。また、脆弱性があっても脅威が存在しなければリスクににならない。
つまり、情報資産+脅威+脆弱性=リスクのうち、どれが欠けてもリスクは成立しない。脅威と脆弱性が一体化したときに、情報資産に対するリスクが発生する。
1-2-2 脅威の種類
物理的脅威
火災や地震、侵入者などによって、直接的に情報資産が破壊される脅威のことを指す。
技術的脅威
ソフトウェアのバグやコンピュータウイルス、不正アクセスなど、論理的に情報が漏洩したり破壊されたりする脅威。
結果敵に情報資産が破壊されるという点では、物理的脅威と変わらないが、経路やプロセスが不可視であるため、検知や対策がしにくい。
人的脅威
ミスによるデータ、機器の破壊や、内部犯による確信的な犯行によって情報資産が漏洩したり失われたりする脅威。
統計からもセキュリティ侵害が行われる最も大きな原因の一つが人的なミス。
攻撃者の目的
脆弱性と脅威が重なったとき、情報資産へのリスクが発生する。自然災害などではリスクが実際に発動するきっかけはランダムな要因によるが、人間の攻撃者の場合はリスクを積極的に利用して情報資産を手に入れようとうする。
知的好奇心
かつてのハッカーがハッキングを行う動機として、最も割合が高かったのが、知的好奇心を満足させるために行う攻撃。
金銭
近年になって増加している犯行動機。情報は貴重であるほど、高い対価が設定されるため、情報を盗み出して金銭に変えようとする攻撃者が現れる。
自己顕示欲
自分の高いシステム知識を見せびらかすために攻撃が行われる場合がある。ホームページの改ざんなどがこの動機の場合によく行われる。
攻撃者の種類
ハッカー
クラッカーと混同されるが、もともとは「情報システムに非常に詳しいユーザ」「知的好奇心に富んだパワーユーザ」などの尊称の意味。現在でも世界ハッカー会議などの有識者会議が存在する。
クラッカー
明確に犯罪者であると定義される。クラッカーの行為は非常に悪質だが、保持しているスキルは高いため攻撃者の中でもやっかいな部類に入り、あらゆる手段を駆使してシステムを攻撃する。高度なクラッカーに狙われた場合、そのシステムは運が悪かったと諦めるしかないとう論調もある。
内部犯
すべての攻撃者の中で唯一、正当なシステム権限を用いて情報資産を盗用したり流用したりできる点にある。攻撃者としての割合、リスクが顕在化した場合の被害額など大きな位置を占めている。
-用語-
1-2-3 脆弱性の種類
物理的脆弱性
物理的な施策でコントロールが可能な弱点を指す。例えば、社屋やコンピュータシステムが耐震構造になっていなかったり、マシンルームに可燃物が放置されていたり、社屋への進入路が開かれていたりといった状況が例に挙げられる。従来からある考え方でコントロールすべき対象物が目に見えるため、わかりやすいという特徴がある。
耐震・耐火構造の不備
情報資産は一般的にデリケートであるため、火災や地震で簡単に破壊されてしまう。業務が情報システムに大きく依存する度合いが大きくなっているいま、これらが失われると大損失を招く。そのため耐震、耐火は重要。耐震構造建屋、消化器などで対策する。
ファシリティチェックの不備
人材の流動性や働き方の多様性が高まっているため、多数の人が企業を訪れる機会が増えている。悪意の第三者が紛れやすくなっているため、入退室管理などの対策が必須。
機器故障対策の不備
セキュリティ対策というイメージが薄いため、盲点になりがちだが、安全に仕事をすすめるための施策として重要。機器の冗長化や故障する前に交換してしまう予防保守などによって対策する。
紛失対策の不備
情報端末の高性能化、小型化が進み、業務にスマホを使うことも一般化した。そのため、紛失や盗難のリスクが高まっている。必ず認証のしくみを使う、データを暗号化する、遠隔地から所在地を確認できる、データの消去ができるといった対策を取る。
技術的脆弱性
システムの設定やアップデートによってコントロールが可能な弱点を指す。例えばソフトウェア製品のセキュリティホール、コンピュータシステムへのウイルスの混入、アクセスコントロールのみ実施など。ネットワークの常時接続化によって技術的脆弱性のコントロールすることの重要性が増している。
アクセスコントロールの不備
正当な利用者だけが情報資源を使える権限管理は、セキュリティの基本。業務の多様化、人材の流動化、テレワークの増加にしたがい、権限管理の複雑さが増加。管理漏れなどへの対策として、マネジメントシステムの導入や、管理の自動化が有効。
マルウェア対策の不備
マルウェアの数が増え、作りも巧妙になっている。メールやSNSなど、感染経路も多様化しているため、何らかの対策を施すことが必須になっている。マルウェア対策の基本はウイルス対策ソフトの導入。シグネチャを最新に保つことや、セキュリティ教育も合わせて実施する。
セキュリティホール
攻撃者のプロ化が進み、攻撃の動機は確実に金銭目的へシフトしている。すでに生活の手段になっているため、膨大な労力を投じた新たなセキュリティホールが探されている。ベンダが公開する脆弱性情報は、守る側よりも攻撃者が積極的に収集し、攻撃手段を研究する種にしている。公開されたセキュリティパッチは迅速に適用する必要がある。
テストの不備
開発コストの圧縮や納期の短縮、システムの複雑化により、テスト期間の短縮とテスト項目の増大が同時におっている。テストの体系的な実施や、自動化ツールの導入で品質を落とさずにこうした事態に対処する。
人的脆弱性
人が介在する弱点。介在する人の多くは内部社員。脆弱性の例としては内部犯による情報資源の持ち出しや、オペレータの過失によるデータの喪失/誤入力などが挙げられる。人材の流動化やシステムの複雑化/分散化、情報のポータビリティ(持ち運びのしやすさ)の拡大など、多くの要因が関連しており、コントロールが難しい分野といわれる。
組織管理の不備
組織の人員が複雑で流動的になり、テレワークなどの遠隔勤務形態も一般的になったいま、組織をきちんとガバナンスしていくことは困難になっている。内部統制や業務のライフサイクルマネジメント、デジタル・フォレンジックすの導入などで組織や業務を可視化して対策する。
過失
情報システムが社会基盤となり、過失が引き起こす被害の範囲や影響が大きくなっている。フールプルーフや自動化処理、適切な業務環境の整備などで対策する。
必要な権利しか持たない、最小権限の原則は過失にも有効。「誤ってデータを消去した」といった事態の範囲を小さくできる。
状況的犯罪予防
「割れ窓理論」が有名だが、窓が割れるなどの一見軽微な瑕疵でも放置すると、ここは落書きしてもいいんだ、ゴミを捨ててもいいんだ、と、どんどん行為がエスカレートして、やがて犯罪を誘発する。クリアデスクや監視カメラの設置によって、犯罪をしにくい環境を整える。
不正のトライアングル
機会と動機と正当化がそろうと、不正が行われるリスクが高まる。例えば、
機会:先生が見回りをしない
動機:この単位を落とすと留年する
正当化:みんなやっている
→カンニングをしてしまう
となる。先生が鬼のように見回りをするなど、なにか一つ要素を除去してリスクを減らす。