脅威の種類
物理的脅威
物理的脅威とは、火災や地震、侵入者などによって、直接的に情報資産が破壊される脅威のことを指す。物理的脅威は、脅威の種類としては一般的である。また、目に見える脅威であるため、対策しやすい点も特徴である。情報システム安全対策基準など、保全に対するガイドラインが古くから標準化されている。
物理的脅威の種類と対策
| 脅威 | 対策 |
| 火災 | 防火壁、 クリアデスク、 サーバルームへの可燃物の持込み禁止、 スプリンクラー、 消火器 |
| 地震 | バックアップサイト、 免震構造社屋、 データの遠隔地保存、 コンティンジェンシープラン (危機管理計画) |
| 落雷・停電 | 予備電源、 避雷針、 UPS、 自家発電装置 |
| 侵入者による物理的な破壊、盗難 | 警備員、入退室管理、モバイル機器・書類の施錠管理、外壁や窓の破壊対策、建屋の隠蔽 |
| 過失による機器、データの破壊 | バックアップ、エラープルーフ、業務スペースの区分管理 |
| 機器の故障 | 冗長化、予防保守、ライフサイクル管理 |
技術的脅威
技術的脅威は、ソフトウェアのバグや、コンピュータウイルス、不正アクセスなど、論理的に情報が漏えいしたり破壊されたりする脅威である。
結果的に情報資産が破壊されるという点では、物理的脅威と変わりないが、経路やプロセスが不可視であるため、検知や対策がしにくいという特徴がある。
技術的脅威の種類と対策
| 脅威 | 対策 |
|---|---|
| 不正アクセス | 認証、 ログの監査 |
| 盗聴 | 暗号化 |
| マルウェア | 入手経路不明ファイルの破棄、 ウイルス対策ソフト、シグネチャの自動更新、 セキュリティパッチ |
| ソフトウェアのバグ | ソフトウェア設計ポリシ、テストボリシ、ソフトウェアライフサイクル管理、検収ポリシ、品質管理基準 |
人的脅威
人的脅威は、ミスによるデータ、機器の破壊や、内部犯による確信的な犯行によって情報資産が漏えいしたり失われたりする脅威である。また、人間が必ずミスをする存在であることから、ミスによって情報資産が破壊されないしくみの導入も必要である。
セキュリティ管理者が意外に見落とす脅威だが、統計からも、セキュリティ侵害が行われる最も大きな原因の一つが人的なミスであることがわかる。
人的脅威の種類と対策
| 脅威 | 対策 |
|---|---|
| ミス | 最小権限原則、エラープルーフ、業務手順の標準化、人間工学デザイン |
| 内部犯 | 最小権限原則、相互監視、アクセス管理、セキュリティ教育、罰則規程 |
| サボタージュ | セキュリティ教育、 罰則規程、 経営層のコミットメント |
攻撃者の目的
脆弱性と脅威が重なったとき、情報資産へのリスクが発生する。自然災害などではリスクが実際に発動するきっかけはランダムな要因によるが、人間の攻撃者の場合はこのリスクを積極的に利用して情報資産を手に入れようとする。
知的好奇心
かつてのハッカーがハッキングを行う動機として、最も割合が高かったのが、知的好奇心を満足させるために行う攻撃である。
システムの詳細な仕様を知りたい、企業活動の秘匿されている部分を知りたいなどの知識欲が攻撃の動機である。
金銭
近年になって増加している犯行動機である。 情報は貴重であるほど、高い対価が設定されるため、情報を盗み出して金銭に変えようとする攻撃者が現れる。
金銭が動機の攻撃は特に内部犯の犯行である場合が多いとの報告もある。比較的簡単に価値の高い情報にアクセスできる権限をもっているためである。そのため、アメリカの企業では社員の経済状態をチェックするような事例もあるが、プライバシーの侵害であるという指摘もなされている。
自己顕示欲
自分の高いシステム知識を見せびらかすために攻撃が行われる場合がある。ホームページの改ざんなどがこの動機の場合によく行われる。
特にセキュリティが強固であるといわれるサイトや影響力の強いサイトがこうした攻撃者に狙われる。
攻撃者の種類
ハッカー
クラッカーと混同されるが、もともとは「情報シスムに非常に詳しいユーザ」「知的好奇心に富んだパワーユーザ」などの尊称の意味があった。現在でも世界ハッカー会議などの有識者会議が存在している。ハッカーは、システムへの侵入なども行うが、それは知的好奇心の発露としてある程度容認されていた時代もあった。
もちろん現在ではこのような行為は犯罪になるが、こうしたプロセスは覚えておくとよいだろう。 マスコミの報道ではハッカーとクラッカーが混同されるケースがあるので注意が必要である。明確に区別する場合は、悪さをする人をクラッカーやブラックハットハッカー、セキュリティの向上や保護をする人をエシカルハッカーやホワイトハットハッカーと呼ぶ。
クラッカー
尊称の意味もあるハッカーに対して、明確に犯罪者であると定義されるのがクラッカーである。クラッカーの行為は非常に悪質だが、保持しているスキルは高いため攻撃者の中でもやっかいな部類に入り、あらゆる手段を駆使してシステムを攻撃する。高度なクラッカーに狙われた場合、そのシステムは運が悪かったと諦めるしかないという論調もあるほどである。
現代社会は非常にITに依存しているため、情報システムへの攻撃はともすれば物理的な破壊工作よりも大きな被害を被攻撃者にもたらすことになる。こうした状況下では、クラッキングが職業として成立する。情報システムへの攻撃を業務妨害やテロの手段として利用する事例が発生してきている。
内部犯
内部犯の特徴は、すべての攻撃者の中で唯一、正当なシステム権限を用いて情報資産を盗用したり流用したりできる点にある。攻撃者としての割合、リスクが顕在化した場合の被害額などで、大きな位置を占めている。 最近ではセキュリティ対策は内部犯のコントロールに軸足を移しつつあるが、業務の遂行に業務データへのアクセスが不可欠である以上、完全な対策は困難である。
また、人的資源の流動化に伴い、元社員が社員時代に蓄積した情報や、社員時代に使っていたパスワードなどで情報を持ち出すケースが増加している。準内部犯的な攻撃であるといえるが、 退職したユーザのID破棄などは厳重に行う必要がある。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント