情報セキュリティにおける脅威(1)
脅威の分類と概要
脅威の分類
| 脅威の種類 | 具体例 | |
|---|---|---|
| 環境 | 災害 | 地震、落雷、風害、水害 |
| 障害 | 機器の故障、ソフトウェア障害、ネットワーク障害 | |
| 人間 | 意図的 | 不正アクセス、盗聴、情報の改ざん |
| 偶発的 | 操作ミス、書類やパソコンの紛失、物理的な事故 | |
災害の脅威
影響
| 軽微な自然災害 | :実害は少ない |
| 広域災害 | :情報システム全体に致命的な被害を受けることも |
対策
- 耐震設備・防火設備・防水設備などによって被害を最小限に押さえる
- バックアップを確保(設備・回線・機器・データなど)
- 訓練を実施(復旧手順等)
- 遠隔地にバックアップセンタを確保
- 外部のIDCを活用 ←主流
IDC(Internet Data Center)
企業のインターネット接続環境(サーバ、ファイアウォールなど)を一式預かり、防災・防犯設備、高速回線、大容量電源などを備えた堅牢な施設で24時間・365日ノンストップで運用するセンタ
障害の脅威
種類
| 障害の種類 | 具体例 |
|---|---|
| 設備障害 | 停電、瞬断、空調機の故障、入退室管理装置の故障、監視カメラの故障 |
| ハードウェア障害 | メモリ障害、ディスク障害、CPU障害、電源装置障害、ケーブル劣化、メモリ やディスクの容量オーバ |
| ソフトウェア障害 | OSやアプリケーションプログラムの潜在的なバグや過負荷などによる異常終了 ・処理異常 |
| ネットワーク障害 | 回線障害(専用回線、公衆回線)、通信事業者、通信機器障害、構内配線の障害 |
対策
| 種類 | 対策 |
|---|---|
| 設備障害 | 守備保守の実施、バックアップ設備(CVCF、UPSなど)の確保 |
| ハードウェア障害 | ハードウェア保守の実施、バックアップ機器・交換部品の確保 |
| ソフトウェア障害 | バージョンの最新化、パッチの適用、過負荷や異常値などによるテストの実施、 脆弱性検査の実施、プログラムやデータなどのバックアップの確保 |
| ネットワーク障害 | 回線・通信機器保守の実施、バックアップ回線の確保 |
共通の対策
- システム資源のキャパシティ管理
- 稼働状況や障害発生状況の常時監視
- 障害発生時の切り替えシステムの構築
- 障害発生後の復旧手順・体制の整備
- 訓練の実施
- 信頼性の高い設備、ハードウェア、ソフトウェア、サービスを選択する
CVCF
電圧と周波数を安定した状態に保ち、電源の安定供給を行う装置
キャパシティ管理
将来的に必要なシステム資源(メモリ、ディスク、CPU、回線など)の容量を予測し、事前に必要な手当てを施しておくこと
人の脅威
対策
| 種類 | 対策例 |
|---|---|
| 偶発的 | 使用方法・セキュリティに関する規定・マニュアル類の整備 教育・訓練の実施 罰則の適用 |
| 意図的 | <外部の人的脅威への対策> 入退室管理の徹底、アクセス制御、ホストの要塞化、通信データの暗号化、 監視システム(入退室、サーバ、ネットワークなど)の導入、 アカウント・パスワード管理の徹底 <内部要員への対策> 権限やルールの明確化、アクセス制御の実施、教育の実施、監査の実施 |
主な侵入・攻撃手法
