脆弱性の種類
物理的脆弱性
物理的脆弱性とは物理的な施策でコントロールが可能な弱点を指す。 例えば、社屋やコンピュータシステムが耐震構造になっていなかったり、マシンルームに可燃物が放置されていたり、社屋への進入路が開かれていたりといった状況が例に挙げられる。従来からある考え方で、コントロールすべき対象物が目に見えるため、わかりやすいという特徴がある。
耐震・耐火構造の不備
情報資産は一般的にデリケートであるため、火災や地震で簡単に破壊されてしまう。業務が情報システムに大きく依存する度合いが大きくなっているいま、これらが失われると大損失を招く。そのため耐震、耐火は重要である。耐震構造建屋、消火器などで対策する。
ファシリティチェックの不備
人材の流動性や働き方の多様性が高まっているため、多数の人が企業を訪れる機会が増えている。悪意の第三者が紛れやすくなっているため、入退室管理などの対策が必須である。
機器故障対策の不備
セキュリティ対策というイメージが薄いため、盲点になりがちだが、安全に仕事をすすめるための施策として重要である。機器の冗長化や、故障する前に交換してしまう予防保守などによって対策する。
紛失対策の不備
情報端末の高性能化、小型化が進み、業務にスマホを使うことも一般化している。そのため、紛失や盗難のリスクが高まっている。必ず認証のしくみを使う、データを暗号化する、遠隔地から所在地を確認できる、データの消去ができるといった対策を取る。
物理的脆弱性の特徴と対策
| 特徵 | 対策 | |
|---|---|---|
| 耐震・耐火構造の不備 | デリケートな情報資産全般の脅威 | 耐震・耐火構造、可燃物の排除、消火器 |
| ファシリティチェックの不備 | 協力会社や顧客が多い業務では対策しにくい | 入退室管理、アンチパスバック |
| 機器故障対策の不備 | 情報の重要性が増している。盲点になりやすい | 冗長化、予防保守 |
| 紛失対策の不備 | 持ち運び機器が増えた | 遠隔監視、認証、暗号化 |
技術的脆弱性
技術的脆弱性とは、システムの設定やアップデートによってコントロールが可能な弱点を指す。例えば、ソフトウェア製品のセキュリティホール、コンピュータシステムへのウイルスの混入、アクセスコントロールの未実施などが例に挙げられる。ネットワークの常時接続化によって、技術的脆弱性をコントロールすることの重要性が増している。
アクセスコントロールの不備
正当な利用者だけが情報資源を使える権限管理は、セキュリティの基本である。業務の多様化、人材の流動化、テレワークなどの増加にしたがって、権限管理の複雑さが増している。管理漏れなどへの対策として、マネジメントシステムの導入や、管理の自動化が有効である。
マルウェア対策の不備
マルウェアの数が増え、作りも巧妙になっている。メールやSNSなど、感染経路も多様化しているため、何らかの対策を施すことが必須になっている。マルウェア対策の基本はウイルス対策ソフトの導入である。シグネチャを最新に保つことや、セキュリティ教育も合わせて実施する。
セキュリティホール
攻撃者のプロ化が進み、攻撃の動機は確実に金銭目的へシフトしている。すでに生活の手段になっているため、膨大な労力を投じて新たなセキュリティホールが探されている。ベンダが公開する脆弱性情報は、守る側よりも攻撃者が積極的に収集し、攻撃手段を研究するタネにしている。公開されたセキュリティパッチは迅速に適用する必要がある。
テストの不備
開発コストの圧縮や納期の短縮、システムの複雑化により、テスト期間の短縮とテスト項目の増大が同時におこっている。 テストの体系的な実施や、自動化ツールの導入で品質を落とさずにこうした事態に対処する。
技術的脆弱性の特徴と対策
| 特徵 | 対策 | |
|---|---|---|
| アクセスコントロールの不備 | 組織や働き方の多様化で管理難 | 権限分掌、最小権限原則、ファイアウォール |
| マルウェア対策 | 種類も数も増大、巧妙化 | ウイルス対策ソフト、セキュリティ教育 |
| セキュリティホール | システムの複雑化により増大、ベンダ情報を攻撃者が活用 | セキュリティパッチの迅速な適用、ペネトレーションテスト |
| テストの不備 | システムの複雑化によるテストケースの網羅漏れなどが増大 | 体系的なテスト手法、システム部 門と業務部門の協力 |
人的脆弱性
人的脆弱性とは、人が介在する弱点である。介在する人の多くは内部社員である。脆弱性の例としては、内部犯による情報資源の持ち出しや、オペレータの過失によるデータの喪失/誤入力などが挙げられる。人材の流動化やシステムの複雑化/分散化、情報のポータビリティ (持ち運びのしやすさ)の拡大など、多くの要因が関連しておりコントロールが難しい分野といわれている。
内部統制の不備
組織や人員が複雑で流動的になり、テレワークなどの遠隔勤務形態も一般的になったいま、組織をきちんとガバナンスしていくことは困難になっている。 内部統制や業務のライフサイクルマネジメント、デジタルフォレンジックスの導入などで組織や業務を可視化して対策する。
過失
情報システムが社会基盤となり、過失が引き起こす被 害の範囲や影響が大きくなっている。 エラープルーフや自動化処理、適切な勤務環境の整備などで対策する。 必要な権利しか持たない、最小権限の原則は過失にも有効である。「誤ってデータを消去した」といった事態の範囲を小さくできる。
状况的犯罪予防
割れ窓理論が有名だが、窓が割れるなどの一見軽微な瑕疵でも放置すると、ここは落書きしてもいいんだ、ゴミを捨ててもいいんだ、と、どんどん行為がエスカレートして、やがて犯罪を誘発する。クリアデスクや監視 カメラの設置によって、犯罪をしにくい環境を整える。
不正のトライアングル
機会と動機と正当化がそろうと、不正が行われるリスクが高まる。 例えば、
機会:先生が見回りをしない
動機:この単位を落とすと留年する
正当化: みんなやっている
→ カンニングをしてしまう!
となる。 先生が鬼のように見回りをするなど、 なにか一つ要素を除去してリスクを減らす。
人的脆弱性の特徴と対策
| 特徵 | 対策 | |
|---|---|---|
| 組織管理の不備 | 組織の多様化、人材の流動化による構造変化 | セキュリティ教育、罰則規程、最小権限原則 |
| 過失 | システムの複雑化、人員の削減 | エラープルーフ、人間工学デザイン、 最小権限原則 |
| 状況的犯罪予防 | 犯罪を行いにくい環境を作る | 監視カメラやログによる監視 |
| 不正のトライアングル | 機会、動機、正当化 | 機会や正当化の余地がないことを明示する |
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント