技術要素(7)
セキュリティ
情報資産とセキュリティ管理
企業では、顧客の個人情報や契約上の機密といった、各種の重要な情報を共有・管理している。これらの情報は、企業にとっては大切な資源(情報資産)であり、顧客にとっても、不用意に公開されては困る重要な情報です。これらの情報が外部へ流出した場合のリスクは甚大です。企業は企業イメージび低下をはじめ、大きな不利益を被ることは免れません。のみならず、その情報が悪意ある第三者へ渡った場合、犯罪に発展することも考えられる。情報に対する危機管理は常に重要事項として捉えられる必要がある。
情報資産
企業における情報資産には、データそのものだけではなく、コンピュータなどの機器類も含まれる。例えば、顧客情報が保存されているノートPCが盗聴されれば、大きなリスクとなる。また、USBフラッシュメモリのような小さな機器類に機密情報を保有して持ち歩けば、置き忘れや紛失などのリスクが高まる。情報資産は、データベースやクライアントコンピュータの内部に収められている各種データを指す「無形資産」と、上記の機器類に代表される「有形資産」とに分類される。
| ・紙に印刷されたデータ ・サーバやコンピュータなどのハードウェア ・ネットワーク機器 |
| ・顧客情報、人事情報、営業情報、知的財産関連情報などのデータ ・OSやアプリケーションソフトウェアなどのソフトウェア ・人間の知識や経験 |
情報の分類
組織で取り扱う情報には「公開情報」「非公開情報」がある
| 公開情報: | 製品カタログやWebページに掲載する情報など一般に公開している情報 |
| や、公開しても問題のない情報 | |
| 非公開情報: | 新製品開発情報などのように公開することで不利益が発生するようの機密 |
| 情報や顧客情報、住所情報のような個人情報のこと |
| 重要度ランク | 情報の内容 | |
|---|---|---|
| 非公開 | A(機密情報) | 製品原価表、人事情報、顧客情報 など |
| B(社外秘情報) | マーケティング情報、売上高 など | |
| 公開 | C(公開情報) | 公開Web情報、製品カタログ など |
脅威と脆弱性
企業が活用しているシステムの多くは、インターネットやイントラネットで外部ネットワークに接続されている。これらは利用者がいつでもシステムを活用し、業務の効率化を図れるというメリットがある一方、外部ネットワークを経由して、システムに侵入されたり、コンピュータウイルスやマルウェアなどに感染することにより、情報を外部に流出させたれたりする
リスクとなり得る脅威の種類や手法を理解し、また、セキュリティ事故を発生しやくする要因になりやすい「脆弱性」に対して正しい処置をとる必要がある
人的脅威の種類と特徴
人間が起こしやすいミスや誤認などの心理的な隙につけこんで情報を取得しようとする行為を「ソーシャルエンジニアリング」と呼ぶ
なりすまし
顧客や会社内の人間になりすまして、企業秘密をはじめあらゆる情報を引き出そうとする手法。上司のふりをして社員のIDとパスワードを聞き出し、それを用いてシステム内に侵入、情報を悪用すること
侵入
拾得もしくは盗用したIDカードなどを利用し、建物や敷地内に侵入すること
トラッシング(ごみ箱あさり)
清掃員になりすますなどしてゴミ箱をあさり、顧客情報、人事情報、商品開発情報などの情報を得ること
盗み見
パスワードを入力しているときにキーボードをみたり、肩越しにパソコンのディスプレイを見たり、席を外している人の机上にあるメモやノートを見たりすること
漏洩
メールに間違った添付ファイルをつけた、送信先を間違った、公開するはずではない情報を公開用サーバに保存してしまった、…といった過失によって意図せぬ情報が外部に流出すること
紛失・盗難
データが記録されているノートパソコンやUSBフラッシュメモリなどをうっかり忘れて紛失したり、盗難にあったりして情報が流出すること
破損・誤操作
何らかの理由により、データが記録されているコンピュータや補助記憶装置を破損したり、誤操作によってデータの消去などが実行されたりして、重要なデータの復旧ができなくなること
クラッキング
システムの脆弱性を突き、システム内に侵入し、情報の漏洩・破壊など様々な行為をおこなうこと
そのような行為を行う者を「クラッカー」と呼ぶ
情報の改ざん
不正にコンピュータに侵入し、コンピュータ内のデータを不正な手段で書き換えること
電子透かし
データの不正コピーや改ざんなどを防ぐために、品質に影響を及ぼさない程度に作成日や著作権などの情報をデータに埋め込む技術のこと。埋め込んだ情報は、一見して判断できないが、専門の電子透かし検出ソフトウェアで確認できるので、不正コピーや改ざんなどを見破ることができる
技術的脅威の種類と特徴
webサーバやメールサーバなどを経由して外部からシステム内部に侵入されたり、悪意のあるプログラムが埋め込まれたりすることがある。また、サーバに過負荷をかけてサービスを停止させたり、利用者を混乱させたりする攻撃もある
コンピュータウイルス
ユーザの知らない間にコンピュータに侵入し、コンピュータ内のデータを破壊したり、他のコンピュータに増殖したりするなどを目的に作られた、悪意のあるプログラムのこと。情報システムやインターネットを利用する上で最も脅威のあるもの
通常、コンピュータウイルスは、「感染」「潜伏」「発病」のライフサイクルを持っている
| 種 類 | 症 状 |
|---|---|
| プログラム破壊型 | 基本ソフトであるOSを破壊したり、アプリケーションソフトウェアを破壊したりする |
| データ破壊型 | 補助記憶装置にあるファイルなどのデータを破壊する |
| 画面表示破壊型 | ディスプレイの画面上に突然、絵や図形、文字などを表示する |
| 特定日時メッセージ出力型 | 特定の日時にコンピュータを作動させたときだけ、性能低下やファイル破壊などの症状が現れる |
| 種 類 | 症 状 |
|---|---|
| ブートセクタウイルス | システムの立ち上げ時に実行されるプログラムが格納されている場所に感染するもので、感染するかはOSや機種に依存する |
| プログラムウイルス | プログラム実行時にほかのプログラムに感染するもので、感染するかは、OSや機種に依存する |
| マクロウイルス | ワープロソフトや表計算ソフトなどで作成したファイルが感染対象となる。ファイルを開いたときに感染する。OSや機種に依存せず、マクロ体系が同一であれば感染する |
マルウェア
悪意を持って利用されるプログラムを総称して「マルウェア」と呼ぶ。具体的には、利用者が知らない間にコンピュータ内に侵入し破壊工作をする、他のコンピュータへ増殖を試みる「コンピュータウイルス」、コンピュータを第三者が操作して破壊工作や情報の盗み出しなどを試みる「ボット」、感染したコンピュータの情報をインターネットなどにアップロードしようとする「スパイウェア」などがある
BOT(ボット)
コンピュータを悪用することを目的に作られた新種のコンピュータウイルスのこと
感染すると、悪意を持った第三者がコンピュータを操り、メール爆弾、DoS攻撃などの迷惑行為をするなど、深刻な被害をもたらす。第三者が感染先のコンピュータを「ロボット(robot)」のように操れるから、この名がついた
スパイウェア
コンピュータ内部からインターネットに個人情報などを送り出すソフトウェアの総称
ユーザはコンピュータにスパイウェアがインストールされていることに気づかないことが多いため、深刻な被害をもたらす
ステルス型ウイルス
コンピュータウイルスが自分自身を隠して、感染を見つけにくくするウイルスのこと
ワーム
ネットワークに接続されたコンピュータに対して、次々と自己増殖していくプログラムのこと
ネットワークの負荷によって、被害を増大させる
トロイの木馬
ユーティリティなどの有用なプログラムを装い、それを実行すると不正な処理を行うプログラムのこと
不正な処理には、システム内からのデータ破壊、キー入力情報の自動送信などがある。感染増殖機能がないことから厳密にはコンピュータウイルスとは区別される
ポートスキャン
コンピュータの開いているポート番号を調べること。そこから侵入を試みたり、そのポート番号を使っているサービスを停止させたりしようとする
パスワードクラック
クラッカーがコンピュータを不正に利用するときに必要となるユーザ名やパスワードを解析すること
ユーザ名やパスワードの候補が大量に記載されているファイル(辞書ファイル)と用い、その組み合わせで解析を行う「辞書攻撃」、プログラムがランダムに生成する文字の組み合わせで解析を行う「総当たり攻撃」がある
踏み台
クラッカーが目的のシステムを攻撃する場合に、セキュリティの甘いコンピュータを隠れ蓑としてりようすること
バッファオーバーフロー
コンピュータ上で動作しているプログラムで確保しているメモリ容量(バッファ)を超えるデータを送り、バッファを溢れさせ、クラッカーが意図する不正な処理を実行させること
DoS攻撃(Denial of Service attack)
特定のWebサーバに対して過大なリクエストを投げかけ、システムに許容範囲を超えた負荷をかけて、物理的に機能停止にしたり応答応答不能にしたりさせる手法。大量のデータを送信したり、同時に多量のコンピュータからアクセスしたりといった手法(DDoS攻撃)をとるDoS攻撃によってネットワークが混乱することで、一般のユーザがサーバを利用できなくなる場合もある
メール爆弾
メールサーバに対して大量のメールを送り過負荷をかけ、その機能を停止させること。DoS攻撃の一種だが、特定のユーザに対する嫌がらせにも使用される
スパムメール
インターネットなどで収集したメールアドレスをもとに、無差別に大量の広告メールを送り付けてくること。望んでもいない情報が大量に送られてくることで回線に負荷がかかったり、必要なメールが分かりにくくなったりすることから「迷惑メール」と呼ばれる
フィッシング詐欺
インターネット詐欺の一種で、大手ショッピングサイトや金融機関の公式サイトといったWebサイトに偽装して利用者をだまし、クレジットカード情報や個人情報を入力させるタイプの詐欺
クロスサイトスクリプティング
Webサイト上のバナー広告やCGIなどのプログラムの脆弱性につけこみ、悪意あるプログラムを埋め込む手法。クロスサイトスクリプティングが仕掛けられたWebページにアクセスしてしまうだけで、個人情報が盗み出されたり、コンピュータ上のファイルが破壊されたりする
セキュリティホール
ソフトウェアが潜在的に持っているセキュリティ上の弱点のこと。ソフトウェア自体にはそもそも悪意がなく、多くの利用者を持つ点がリスクとなり得る。セキュリティホールが発見された場合、製作者はすみやかに修正プログラムを開発し、各利用者は修正プログラムを追加インストールする必要がある
ファイル交換ソフト
インターネットを通じて、外部の複数のコンピュータと相互通信を行いながらファイルを交換するソフトウェアを「ファイル交換ソフト」と呼ぶ。ファイル交換ソフトの多くは、中央のサーバを立てず、インターネットを通じて利用者のコンピュータシステム同士を接続する「ピアツーピア(P2P)」技術を採用している
利用者は、ファイル共有のための、公開しても支障のないファイルのみをファイル交換ソフトに登録する。しかし、設定ミスやコンピュータウイルスなどによって、意図しない範囲のファイルが公開ファイルに登録されると、情報漏洩が起こる。ファイル交換ソフトを狙ってランダムな情報のアップロードを引き起こすコンピュータウイルスも登場している
プログラムによる自動投稿の防止
コンピュータによる無料メールアカウントの大量取得、電子掲示板やブログへの無差別な自動投稿を防止するのに利用されている技術に「CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart:キャプチャ)」がある。CAPTCHAはWebサイトにアクセスしようとしているのが人間なのかを識別するための技術のこと。人間は読み取ることができても、コンピュータ(プログラム)が読み取ることができない、右のような文字の画像をWebサイトに表示し、同じ文字を入力させることによって識別する
クッキー(cookie)
Webサイトを管理しているWebサーバがWebサイトに接続しているユーザを特定するために、ユーザのパソコンに渡す情報のこと。閲覧したWebサイトの内容や入力したデータなどが記録している情報に基づき、ユーザことにカスタマイズした画面を表示したり、入力の手間を省ける
物理的脅威の種類と特徴
自然災害
地震などの自然災害や落雷・火災など、物理的な災害はシステムにとっても脅威となり得る
この種のリスクへの対策としては、ディザスタ・リカバリと呼ばれる芸念が知られている。データセンタを遠隔地に分散しておき、システムの全滅を防いだり、システム内部のデータを常にバックアップしながら運よすることで迅速な復旧を図ったりする
破壊・妨害行為
第三者の手によって、システムに物理的なダメージが加えられ、業務妨害が行われるケースも考えられる
情報資産とセキュリティ管理
情報セキュリティマネジメントシステム
(ISMS:Information Secutiry Management System)
リスクマネジメント
情報システム、特にネットワークに接続された情報システムを利用する場合には、情報セキュリティを考慮する必要がある。情報セキュリティを考えるうえでは、リスクの管理(「リスクマネジメント」)が欠かせない
リスクアセスメント:リスクを評価すること
リスクアセスメントの手順
情報セキュリティマネジメントシステム(ISMS)の運用方法
リスク分析・評価の結果に基づいて、具体的な情報セキュリティの基本方針や目標を策定する。その上で、技術的対策のほかに人的・物理的セキュリティ対策を含んだ情報セキュリティ対策を実施する。その結果を検証して対策を見直すことによって、継続的に組織の情報セキュリティを改善することが求められる
情報セキュリティポリシ
情報システムが、各個人の独断や裁量によって扱われるようなことがないよう、情報セキュリティポリシは文書として明文化される必要がある。明文化は、情報セキュリティポリシの内容の明確化につながり、また、個々の人の意識の向上にも寄与する。
情報セキュリティポリシは、大きく分けて「基本方針」、「対策基準」、「実施手順」で構成される。通常は「基本方針」、「対策基準」の2つを指して情報セキュリティポリシと称する
基本方針
情報資産を脅威から守るための姿勢を明確にし、組織全体でセキュリティに対する取り組みを示す
対策基準
基本方針に基づいた、ルールや判断基準、セキュリティ対策の確保といった行動を示す
実施手順
通常の情報セキュリティポリシには含まれないが、実施手順の策定により対策基準に基づいた個々の行動を具体化する
情報セキュリティマネジメントの三大要素
情報資産に対する様々な脅威を防止し、「機密性」「安全性」「可用性」を確保するもの
機密性
アクセスを許可されたものだけが、情報にアクセスできることを確実にする
安全性
情報及び処理方法が正確であることを確保する
可用性
許可された利用者が必要な時に、情報及び関連する資産にアクセスできることを確実にする
個人情報保護
企業が収集・保管している個人情報が漏えいして、営利目的の第三者の手に渡ってしまい、その漏洩した個人情報をもとにして大量のダイレクトメールや不当請求などが送り付けられる、という事故が、近年頻繁に発生している
個人情報の保護は、「個人情報保護法」が整備されたことにより、従来よりいっそう厳格に行うことが義務付けられている。企業などでは、個人情報保護を徹底するための取り組みとして、「プライバシーマーク制度」の取得などが重視されている
プライバシーマーク制度
「プライバシーマーク制度」は、個人情報の取り扱いについて適切な保護措置を実行できる体制を整備している組織に対して、認定証となる「プライバシーマーク」を付与する制度。財団法人日本情報処理開発協会(JIPDEC)が執り行っている。「Pマーク」とも呼ばれる
| ・消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関 する消費者の意識の向上を図ること ・適切な個人情報の取り扱いを推進することによって、消費者の個人情報の保護意識 の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること |
