情報セキュリティの脅威21

 先日、宮崎美子さんの40年ぶりのビキニ姿が公開された。
御年61歳、40年前の「いまのキミはピカピカに光って～」を初めて見たとき以来の衝撃が走る
美魔女というのはこのことを言うのであろう(^_^;)

情報セキュリティの脅威について

2.1.1 脅威の分類

脅威とは情報セキュリティを脅かし損失を発生させる直接の原因となるものがある。情報資産が存在すれば、そこには常に何らかの脅威が存在する。情報セキュリティにおける脅威は次のように分類できる。

脅威の種類		具体例
環境	災害	地震、落雷、風害、水害
	障害	機器の故障、ソフトウェア障害、ネットワーク障害
人間	意図的	不正アクセス、盗聴、情報の改ざん
	偶発的	操作ミス、書類や PC の紛失、物理的な事故

  2.1.2 災害の脅威

災害の脅威	地震、火災、風害、水害などが災害の脅威の代表的なものといえる。 多くの場合は自然災害だがたばこの不始末による火災のように人為的な原因によって引き起こされる災害もある。 人為的な要因による災害を軽減させることは可能だが、自然災害を軽減させることが非常に難しい。
災害が情報資産に及ぼす影響	軽微な地震などの自然災害であれば、情報資産(主に情報システム)が災害を受けることは少ないが、大地震などの広域災害が発生した場合には設備からデータにいたるまで、情報システム全体に致命的な被害を起こすことがある。
災害への対策	耐震設備・防火設備・防水設備などによって災害発生時の被害を最小限に抑える、 設備・回線・機器データなどのバックアップを確保しておく、 災害発生時の復旧作業手順を明確にして訓練を実施する、 といった対策が考えられる。 また、情報システムの重要度によっては遠隔地にバックアップセンターを確保し、設備や回線、機器などの必要なリソースをホットスタンバイの状態で待機させておくことも必要になる。 しかし、一般企業がこうした設備を自社内で確保維持するのは大変であるため、必要な環境が完備された外部の IDC やクラウドサービスを活用するのが主流になっている。

2.1.3 障害の脅威

障害の脅威	障害には、設備障害、ハードウェア障害、ソフトウェア障害、ネットワーク障害などがある。 障害の種類 障害の種類 具体例 設備障害 停電、瞬断、空調機の故障、入退室管理装置の故障、監視カメラの故障 ハードウェア障害 メモリー障害、ディスク障害、 CPU 障害、電源装置障害、ケーブル劣化、メモリやディスクの容量オーバー ソフトウェア障害 OS やアプリケーションプログラムの潜在的なバグや過負荷などによる異常終了・処理異常 ネットワーク障害 回線障害(専用回線、公衆回線の障害)、通信事業者(接続局、 ISP 、 NOC 、iDC )内での障害、通信機器障害、構内配線の障害
障害が情報資産に及ぼす影響	障害の発生場所や規模、システム構成などにより、影響は大きく異なる。設備障害は災害による脅威と同様に、情報システム全体に障害を及ぼすことが考えられる。ファイアウォールや基幹業務用サーバー、インターネット接続回線など、システムを構成する重要な機器やネットワークの障害も、業務の遂行やサービスの提供に多大な影響を及ぼすことになる
障害への対策	障害は、災害と同様にシステムダウンやデータの破壊を引き起こし、情報システムの可用性や完全性を低下させる大きな原因となる。しかも、入退室管理システムやアクセス制御、認証システム、暗号化といったセキュリティシステムを構成するハードウェアやソフトウェアで障害が発生した場合には、機密性を低下させることも考える。 障害に対する具体的な対策例 対策の種類 対策例 設備障害への対策 設備保守の実施バックアップ設備、 CVCF 、 UPS などの確保 ハードウェア障害への対策 ハードウェア保守の実施、バックアップ機器・交換部品(メモリー、ディスクケーブルなど)の確保 ソフトウェア障害への対策 バージョンの最新化、パッチの適用、過負荷や異常値などのによるテストの実施、脆弱性検査の実施、プログラムやデータなどのバックアップの確保 ネットワーク障害への対策 回線通信機器保守の実施バックアップ回線の確保 この他にも障害に対する共通の対策として、システム資源のキャンパスシティ管理、稼動状況や障害発生状況の常時監視、障害発生時の切り替えシステムの構築、障害発生後の復旧手順・体制の設備、訓練の実施などがある。

2.1.4 人の脅威

人の脅威には大きくわけて「偶発的に引き起こされるもの」と「意図的に引き起こされるもの」がある。具体的には、次のような例が考えられる。

偶発的な脅威の例	コンピューターの操作ミスやプログラミングミスによって異常処理やデータの破壊などが発生する 電子メールの送信ミスから機密情報が外部に漏洩する 社員が持ち込んだ個人所有のモバイル機器や USB メモリーから社内システムにマルウェアが侵入しデータの破壊を引き起こしたり機密情報を外部に漏洩させたりしてしまう 社員が公開セグメントに設置した無防備なサーバーがサイバー攻撃を受けデータの破壊や機密情報の漏洩などが発生する
意図的な脅威の例	社員が金銭目的で社内の機密情報を持ち出す 退職した社員や過去にシステム構築に拘った SI ベンダーの社員がシステム構成や設定に関する機器の情報を利用して社内システムに侵入し機密情報を盗み出す 会社に恨みを持つ者は嫌がらせ目的でその会社のオンラインショッピングサイトに侵入して改ざんしたりサービス不能攻撃を仕掛けたりする セキュリティホールを持つ Web アプリケーションが攻撃を受け個人情報が漏えいする

不正のトライアングル理論によれば不正行為は動機・機会・正当化の三つが揃った時に発生すると考えられている。

動機	過剰なノルマ、金銭トラブル、不正行為のきっかけとなるもの
機会	ずさんなルール、対策の不備など、不正行為を可能、または容易にする環境の存在
正当化	「良心の呵責」を乗り越え、不正行為を納得させるための都合のよい解釈や責任転嫁

人が情報資産に及ぼす影響

人間の脅威には多くの種類があるため、その影響をも軽微なものから企業の存続をも脅かしかねない重大なものまで様々である。偶発的な脅威はある程度想定できるが、意図的な脅威は何通でも考えられる上に、その発生頻度や発生箇所を予測する事もこんな非常に困難である。

人の脅威への対策

人は、情報の漏えい、改ざん、破壊、システムダウンなどありとあらゆる損害を引き起こすため、情報資産の機密性や完全性、可用性を低下させる原因となる。特に機密性については、人が最大の脅威であることは明らかであるので、アクセス制御や暗号化による対策が必要となる。

人の脅威に対する具体的な対策例

驚異の種類	対策例
偶発的な脅威	情報システムの使用方法やセキュリティに関する規定やマニュアル類の整備、教育訓練の実施、罰則の適用
意図的な脅威	外部の人的脅威への対策 入退室管理の徹底、アクセス制御、ホストの要塞化、通信データの暗号化監視システム(入退室、サーバー、ネットワークなど)の導入、アカウントやパスワード管理の徹底 内部要因への対策 権限やルールの明確化とそれに基づいたアクセス制御の実施、教育の実施、監査の実施

2.1.5 サイバーセキュリティ情報を共有する取り組み

サイバー情報共有イニシアティブ（J-CSIP：Initiative for Cyber Security Information sharing Partnership of Japan ）は、公的機関であるIPAを情報ハブ（集約点）の役割として、参加組織間で情報共有を行い、高度なサイバー攻撃対策に繋げていく取り組みです。

具体的には、IPAと各参加組織（あるいは参加組織を束ねる業界団体）間で締結した秘密保持契約（NDA）のもと、参加組織およびそのグループ企業において検知されたサイバー攻撃等の情報をIPAに集約。情報提供元に関する情報や機微情報の匿名化を行い、IPAによる分析情報を付加した上で、情報提供元の承認を得て共有可能な情報とし、参加組織間での情報共有を行っています。