皆さん、こんにちは!
Webマーケターの にしすん です。
当ページでは、「情報セキュリティ」について、初心者向けに解説しています。
情報セキュリティにおける「脅威」の一覧も載せています。
※初心者向けの内容です。ITの知識がある方には、簡単すぎるかもしれません。
・情報セキュリティについて知りたい方
・パソコンの勉強を始めたい方
ぜひ、参考にしてみてください!
情報セキュリティとは?3大要素って何?
情報セキュリティとは、情報に関する保安のことです。
近年、情報を盗んだり破壊したりする事件が多発していますね。
情報に関する“悪さ”に対して、様々な対策をする必要性が増しています。
情報セキュリティの知識は、企業や団体だけでなく、個人レベルで身につけておくべきです。
情報セキュリティマネジメントの国際規格「ISO/IEC 27001」では、“情報セキュリティ”は以下のように定義されています。
「情報システムの機密性・完全性・可用性を維持すること」
機密性・完全性・可用性を、情報セキュリティの3大要素といいます。
情報が第三者に漏洩しないようにすること。
機密性を向上させる例)システムの暗号化、アクセス権限の設定
情報や処理方法が、正確で完璧であるようにすること。
完全性を向上させる例)デジタル署名、ウイルス検出ソフトの導入
必要なときに情報資産を利用できるようにすること。
可用性を向上させる例)システムの二重化、バックアップ
情報セキュリティにおける「脅威」とは?一覧を見てみよう!
情報セキュリティにおける「脅威」とは、情報システムに対して悪影響を与える要因のことです。
大きく、以下の3つに分けることができます。
・人的脅威
・技術的脅威
最も多様で、対策が困難なのは、技術的脅威です。
大事な情報を保護するには、「どんな脅威が存在するのか」しっかりと把握することが必要です。
ここでは、代表的な「脅威」をご紹介します。
【物理的脅威】
・自然災害(地震、津波、洪水、火災、落雷など)
・機器の故障
・侵入者による物理的破壊行為
【人的脅威】
・操作ミス
・紛失
・内部関係者による不正
・怠惰、怠慢行為
・ソーシャルエンジニアリング(人間の心理の隙をついて、機密情報を盗む行為)
例:緊急事態を装い、組織内部の人からパスワードを聞き出す。ゴミ箱に捨てられた紙から、機密情報を盗む。
【技術的脅威】
ウイルスや不正アクセスによる、以下のような脅威を指します。
・情報漏洩
・データ破壊
・盗聴
・データ改ざん
・データ消去
技術的脅威には様々な種類があるので、少しだけ具体的にご紹介します。
クリックしただけで、「ご登録ありがとうございます。〇〇円の請求が来ます。」のようなメッセージが表示されるものです。
※もちろん、支払い義務はありません!
メールを発信し、有名な会社等を装った偽のサイトに誘導し、個人情報を入手する詐欺です。
特定の組織をターゲットにして、偽装メールを送り付け(件名を「関連業務」のようにする、差出人を「取引先」に見せかける等)、ウイルスファイルを開かせたり、ウイルスサイトに誘導したりする攻撃です。
組織の中でよく利用されるWebサイトに、ウイルスを仕込む攻撃です。
特定のサーバに、大量のパケット(小さいデータの塊)を大量に送り付け、過度な負荷を与えることで、サービスを妨害する攻撃です。
Webサーバとクライアントのセッション(通信)に、第三者が割り込み、セッション(通信)を乗っ取る攻撃です。
規定のデータ領域を超えるサイズのデータを入力することで、誤動作を誘発する攻撃です。
セキュリティホール(ソフトウェアの設計ミス等で生じた、セキュリティの欠陥)に対する攻撃です。セキュリティパッチ(修正プログラム)を適用する必要があります。
ソフトウェアの脆弱性が判明した際、その修正プログラムがまだ存在しないうちに行われる攻撃のことです。
パスワードや暗号解読のために、大文字小文字、数字を混ぜ合わせながら、辞書にある言葉を手当たり次第に打ち込む攻撃です。
パスワードや暗号解読のために、考えられる全ての文字の組み合わせを打ち込む攻撃です。ブルートフォースアタックとも呼ばれます。
複数のサービスで、同じ「ID・パスワード」を使用する人が多いことを利用した攻撃です。何らかの方法で入手した「ID・パスワード」を、様々なサービスで使えるかどうか試していきます。
まとめ
いかがでしたか?
「情報セキュリティ」「脅威」について、簡単にご説明しました。
・機密性
・完全性
・可用性
〈情報セキュリティにおける「脅威」〉
・物理的脅威
・人的脅威
・技術的脅威
当ページが、皆さんの生活や学習の一助になれば幸いです。