今回は
家に例えると、鍵をかけ忘れるという脆弱性により、空き巣など脅威が存在します。
では、情報セキュリティに対する脅威や脆弱性についての学習のポイントです。
基本書および学習などに関しては有料でお答えて致します。
情報セキュリティにおける脅威
1.脅威とは
脅威とは情報セキュリティを脅かし損失を発生させる直接の原因となるものがある。情報資産が存在すれば、そこには常に何らかの脅威が存在する。情報セキュリティにおける脅威は次のように分類できる。
脅威の種類 |
具体例 |
|
環境 |
災害 |
地震、落雷、風害、水害 |
障害 |
機器の故障、ソフトウェア障害、ネットワーク障害 |
|
人間 |
意図的 |
不正アクセス、盗聴、情報の改ざん |
偶発的 |
操作ミス、書類や PC の紛失、物理的な事故 |
|
脅威が存在すればそれに対して対策を行うことが必要です。
ただし、企業にしてみれば費用対効果を生むものもありますが、相対的には費用が掛かります。経営的判断が求められることもあります。
1.1.例:災害への対策
• 耐震設備・防火設備・防水設備などによって災害発生時の被害を最小限に抑える
• 設備・回線・機器データなどのバックアップを確保しておく
• 災害発生時の復旧作業手順を明確にして訓練を実施する
といった対策が考えられる。
また、情報システムの重要度によっては遠隔地にバックアップセンターを確保し、設備や回線、機器などの必要なリソースをホットスタンバイの状態で待機させておくことも必要になる。
しかし、一般企業がこうした設備を自社内で確保維持するのは大変であるため、必要な環境が完備された外部の IDC やクラウドサービスを活用するのが主流になっている。
2.サイバーセキュリティ情報を共有する取り組み
サイバー情報共有イニシアティブ(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan )は、公的機関であるIPAを情報ハブ(集約点)の役割として、参加組織間で情報共有を行い、高度なサイバー攻撃対策に繋げていく取り組みです。
3.情報セキュリティの攻撃方法
情報セキュリティに対して攻撃や情報収集方法に対する対策を考える前に攻撃手法などを知っておく必要があります。
詳細については学習などで取得してください。
対策はインフラ系や、ネットワーク系、プログラム系など、様々です。
- ポートスキャン
- バッファオーバーフロー攻撃
- パスワードクラック
- セッションハイジャック
- DNSサーバに対する攻撃
- DoS攻撃
- Webアプリケーションに不正なスクリプトや命令を実行させる攻撃
- クロスサイトスクリプティング
- SQLインジェクション
- OSコマンドインジェクション
- HTTPヘッダインジェクション
- メールヘッダインジェクション
- ディレクトリトラバーサル攻撃
- マルウェアによる攻撃
