絶対合格！情報処理安全確保支援士試験【第1回】情報セキュリティの基礎知識

セキュリティといったらマンションやホテルのオートロックや店舗の防犯カメラといった安全を守る対策全般のことです。

この中で情報セキュリティとして扱われるのは、「コンピュータのデータ・顧客情報・技術情報」といった情報に対するセキュリティのことです。

情報セキュリティというのは、技術だけでは安全を担保することはできず、組織的なマネジメントを含めて全体的に対策を考えていくことが重要となります。

情報資産とは、企業にとって必要な価値あるものを資産と呼びます。

この資産には、不動産や商品といった形あるモノだけではなく、顧客の情報や技術・特許情報であったり、人の知識も含まれるよ！

情報資産は、人為的（意図的）、人為的（偶発的）、環境的に分類することができます。

• 人為的（意図的）な脅威
  （例）ウイルス感染、盗聴、盗難、不正アクセス、なりすまし、サービス不能など
  
  
• 人為的（偶発的）な脅威
  （例）プログラムのバグ、誤ったデータ削除など
  
  
• 環境的な脅威
  （例）地震、台風、津波、洪水、落雷、火災など

重要な売上データが入っているパソコンが誰でもアクセスできる環境にあれば、データの盗難にあう可能性があります。

こういったことを情報資産の脆弱性といいます。

情報資産の脅威を洗い出して、脆弱性を考慮したリスクの大きさを推定することをリスクアセスメントといいます。

情報セキュリティリスクの大きさは、一般的に「情報資産の価値×脅威の価値×脆弱性の度合い」で求めることができます。

情報セキュリティの重要ポイントは、当たり前のことを確実に全員が守ることです。

どれだけ素晴らしい技術をもって対策して外部からの攻撃を防げたとしても、内部の人間が組織を裏切って情報を盗み見たり、データを持ち出したり、抜け穴を外部に漏らしたりすると容易にセキュリティは突破することが可能となります。

そのため、組織として会社は、全員が守るべきルール「情報セキュリティポリシー」を制定し、教育をすることが情報セキュリティの中でも非常に重要なポイントとなります。

「ISMSの採用は、組織の戦略的決定である。組織のISMSの確率及び実施は、その組織のニーズ及び目的、セキュリティ要求事項、組織が用いているプロセス、並びに組織の規模および構造によって影響を受ける。」

これを要約すると、情報セキュリティの基本的な考え方とは、「組織が戦略的に決定し、組織の状況によって臨機応変に対応する」ということになります。

• 機密性(Confidentiality)
  認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性
  
  
• 完全性(Integrity)
  正確さ及び完全さの特性
  
  　
• 可用性(Availability)
  認可されたエンティティが要求したときに、アクセス及び使用が可能である特性

• 真正性(Authenticity)
  ある対象（人やモノ、データ、記録など）が、それが何であるかの記述や主張の通り、本物であること。
  　
  　
• 責任追跡性(Accountability)
  あるエンティティとの動作が、その動作から動作主のエンティティまで一意に追跡できることを確実にする特性
  　
  　
• 否認防止(Non-Repudiation)
  主張された事象又は処置の発生、及びそれを引き起こしたエンティティを証明する能力
  　
  　
• 信頼性(Reliability)
  意図する行動と結果とが一貫しているという特性

組織として情報セキュリティを守るには、セキュリティ対策をシステム化して継続的に改善をしていくことが大事です。

みんなセキュリティ守って！といったも何をどうすれば良いか分からないと思いますが、PDCAを繰り返していくことで、セキュリティ強度・可用性の高いシステム・組織ができあがります。

・Plan：情報セキュリティ対策の計画を策定

・Do：計画に基づいて対策を実行する

・Check：実行した結果を見直す

・Action：経営陣による改善・対応を行う

その行動を情報セキュリティマネジメントと呼び、システム化することが情報セキュリティマネジメントシステムです。

• 情報セキュリティ対策
  ファイルの暗号化やログイン認証といった技術によるセキュリティ対策のことです。
  攻撃を内部に侵入させない「入口対策」と侵入された後に被害を外部に広げない「出口対策」だけでなく、複数の対策を組み合わせる「多層防御」といった対策があります。
  　
  　
• 人的セキュリティ対策
  内部関係者が不正を働かないように教育・訓練をしっかりと行い、組織的にセキュリティ対策を実施することが大事です。
  　
  　
• 物理的セキュリティ対策
  USBでのデータ持ち出しであったり、トイレや昼休み、会議などで席を離れたときに、モニタ画面や机の上にあるメモ帳を見られたりと…物理的に情報を盗まれる可能性があります。
  その対策として、離籍する場合は、「クリアスクリーン：画面ロックする」や「クリアデスク：机の上を整理し、引き出しも鍵付きでしっかりと管理」など…多くの対策を実施する必要があります。

• 予防
  セキュリティ事故が発生する前に、事前に対策を実施すること。
  （例）定期的な情報セキュリティ教育など
  　
  　
• 防止・防御
  セキュリティ脅威が発生しても、セキュリティ事故まで発展しないように情報を守ること。
  （例）データ損失しないように定期的なデータバックアップなど
  　
  　
• 検知・追跡
  ・検知：セキュリティ事故が発生した後、直ぐに検知して気付けること。
  （例）IDS(不正侵入検知システム)など
  
  ・追跡：どのように事故が起きたかを追跡できること。
  （例）アクセスログの収集など
  　
  　
• 回復
  セキュリティ事故が発生した後、元の状態に復旧すること。
  （例）ロールフォワード、ロールバックなど

• 機会
  不正行為の実行が可能な環境のことです。
  （例）個人的なUSBメモリを会社のPCで使用可能など
  　
  　
• 動機
  不正行為を働くための状況・事情のことです。
  （例）会社に恨みがある、残業代が支払われないなど
  　
  　
• 正当化
  不正行為を行っても問題ない・悪くないとすること。
  （例）顧客データを横流ししても会社には黙っていれば問題ないなど

• 故意犯
  意識的に犯罪を行う攻撃者のことだよ。
  　
  　
• 過失犯
  犯罪の意思はもっていないのに注意義務をサボるといったことにより、罪を起こしてしまう攻撃者のこと
  
  
• 詐欺犯
  フィッシング詐欺や偽ショッピングサイトから個人情報を盗むような詐欺を行う攻撃者のことだよ。
  　
  　
• 愉快犯
  サイバー攻撃を人や社会を相手に実施して、恐怖に怯えている姿を観察して喜ぶような攻撃者のことだよ。
  　
  　
• 内部関係者
  従業員や派遣社員といった企業情報にアクセスできる権限を不正に利用して持ち出したり、改ざんするような悪質な攻撃者のことだよ。
  　
  　
• ボットハーダー
  ボットと呼ばれる、人間の代わりに作業するプログラムを利用してサイバー攻撃などを実行する攻撃者のことだよ。
  　
  　
• スクリプトキディ
  クラッキングツールというインターネット上で公開されているツールを用いて不正アクセスをトライする攻撃者のことです。
  幼稚な攻撃者という皮肉な意味も込められています。
  みんなは使っちゃダメだよ！絶対に！！！

• サイバーテロリズム
  ネットワークを対象として行われるテロリズムのことだよ。
  人や社会に危害・打撃を与えるような非常に悪質な攻撃のことです。
  　
  　
• ハクティビズム
  ハッカーの思想のことで、「政治的」、「社会的」な思想の元、積極的にハッキングを行う攻撃のことだよ。
  　
  　
• 金銭奪取
  金銭的に利益を不当に得ることを目的に行われる攻撃のことだよ。
  顧客や個人情報といった金銭に繋がる情報も含まれます。

• ハッカー
  コンピュータや電子回路といった技術的に深い知識を使って、課題を解決する人のことだよ！
  その行為をハッキングと呼びます。
  　
  　
• ホワイトハッカー
  専門的な技術や知識を善良な方面に使う人のことをホワイトハッカーと呼びます。
  　
  　
• クラッカー
  不正アクセスを行う人のことだよ。

• 偵察
  攻撃対象となる組織や人物を調査して情報を収集する
  　
  　
• 武器化
  エクスプロイトやマルウェアといった攻撃武器を作成する
  　
  　
• デリバリ
  武器を届ける(マルウェアを感染させるための悪意をもったメール(添付ファイル/クリック誘導)など)
  　
  　
• エクスプロイト
  ユーザに添付ファイルを開かせたり、クリックによるマルウェアを設置したWEBサイトに誘導してエクスプロイトコードを実行させる
  　
  　
• インストール
  エクスプロイトコードの実行により、そのPCがマルウェアに感染
  　
  　
• C＆C
  マルウェアとC＆Cサーバ間を通信させることで、遠隔操作を感染PCで実施し、追加のマルウェアやツールなどをダウンロード・実行することで感染拡大、内部情報を探し出す
  　
  　
• 目的の実行
  探し出した内部情報を圧縮・暗号化してバレないように情報を持ち出す