情報セキュリティとは?

情報セキュリティの目的と考え方

対象

 情報セキュリティの”情報”とは、コンピュータの中のデータや顧客情報や技術情報などです。情報は、一般的な防犯とは違った守りにくさがあるため、特別に情報セキュリティという分野が必要になってくるのです。

 

目的

 情報セキュリティの目的は、JIS Q 27002(ISO/IEC 27002)に次のように規格化されています。

  1. 事業継続を確実にすること
  2. 事業リスクを最小限にすること
  3. 投資に対する見返りおよび事業機会を最大限にすること

 

情報セキュリティの定義

 情報セキュリティはJIS Q 27002(ISO/IEC 27002)に次のように定義されています。

 

  • 機密性(Confidentiality)…認可されていない個人、エンティティまたはプロセスに対して、情報を使用不可または非公開にする特性
  • 完全性(Integrity)…資産の正確さ、および完全さを保護する特性
  • 可用性(Availability)…認可されたエンティティが要求した時にアクセス及び使用が可能である特性

 

 上の3つをまとめてCIAと呼ばれています。

 

機密性の例…許可した人以外には見られないようにする。暗号化や施錠で情報を見られないようにする。
完全性の例…情報を書き換えられないようにする。Webページ改ざん防止のためにサーバへのアクセスを制限する。
可用性の例…情報をいつでも見られるようにする。サーバが故障してデータが見られなくなることがないようにサーバを二重化する。

 

 CIAのほかにも次の4つも要素に含めることがあります。

  • 真正性(Authenticity)…主体または資源が、主張通りであることを確実にする特性
  • 責任追跡性(Accountability)…あるエンティティの動作が、一意に追跡できる特性
  • 否認防止(Non-Repudiation)…ある活動または事象が起きたことを、後になって否認されないように証明する能力
  • 信頼性(Reliability)…意図した動作および結果に一致する特性

 

情報セキュリティの考え方のポイント

 「漏れ無く全員で当たり前のことをきちんと行うこと」
 ファイアウォールで社内ネットーワークを守っても、社内の人間が機密データを窃取することは十分にありえる。実際、情報セキュリティ犯罪の多くは、社員などの関係者が主導したり協力することで成立している。
 また、組織の中にはITに詳しく無い人もいる。暗号化を忘れたり、パスワードを書いた紙を見られるなどの個人のミスが情報漏えいにつながることもある。そのため、組織のルール(情報セキュリティポリシ)を決めて、守るための仕組みをつくることが大切。

 

情報セキュリティマネジメントシステム

 守るための仕組みをシステム化する。→情報セキュリティマネジメントシステム(ISMS)
 次のようなPDCAサイクルを繰り返す。
Plan…情報セキュリティ対策の具体的計画を策定する
Do…計画に基いて対策の導入・運用を行う
Check…実施した結果の監視・監査を行う。
Action…経営陣による改善・処置を行う

 

 ISMSの構築方法や要求事項はJIS Q 27001(ISO/IEC 27001)に示されている。
 実践規範はJIS Q 27002(ISO/IEC 27002)に示されている。

情報セキュリティの重要性

 情報セキュリティマネジメントの対象は情報資産です。
 情報資産毎に、脅威と脆弱性を洗い出し、どのように守るのかを決めていきます。

 

情報資産

 顧客情報や技術情報、人の知識などは情報資産と呼ばれます。商品や不動産などと同じく企業の大切な資産のひとつです。
 情報資産には次のようなものがあります。

  • 顧客情報
  • 人事情報
  • コンピュータ
  • 記憶媒体
  • 人の知識
  • 特許情報
  • 技術情報

 どのような情報資産があるか洗い出して、それぞれに合わせた対策を考えることが大切です。

 

脅威

 システムや組織に損害を与える可能性のあるインシデントの潜在的な原因を脅威といいます。インシデントとは望まれていないセキュリティの事象で、事業を危うくする恐れがあるものです。

  • 人為的な脅威(意図的)…盗聴、改ざん、不正アクセス、盗難、なりすまし、サービス不能、ウイルス感染など
  • 人為的な脅威(偶発的)…ケアレスミス、プログラムのバグ、誤ったファイルの削除など
  • 環境的な脅威…地震、洪水、落雷、火災、台風など

 

脆弱性

 脅威がつけ込むことができる、情報資産が持つ弱点のことを脆弱性といいます。次のようなものがあります。例えば、施錠していない部屋にコンピュータを保管している脆弱性により、盗難などの脅威が起こる可能性が生まれます。

 

リスク

 ある脅威が脆弱性を利用して損害を与える可能性をリスクといいます。
 それぞれの情報資産について、脅威を洗い出し脆弱性を考慮することによってリスクの大きさを推定します。これをリスクアセスメントといいます。

 

 情報セキュリティリスクの大きさ=情報資産の価値×脅威の大きさ×脆弱性の度合い

不正のメカニズム

不正のメカニズム

 不正のトライアングル理論…米国の犯罪学者D.R.クレッシーが提唱

 

 次の3つの不正リスクが揃ったとき、人は不正行為を実行する。

 

  • 機会…不正行為が容易となる環境。管理者に権限が集中してチェックが働かない状況など。
  • 動機…不正行為を行う事情。お金が欲しかったなど。
  • 正当化…不正行為を正当化するための理由。盗むのではなく借りるだけと自分に言い訳するなど。

 

 状況的犯罪予防…不正のトライアングルを考慮して予防する考え方

 

  • 物理的にやりにくい状況を作る
  • やると見つかる状況を作る。
  • やっても割に合わない状況を作る。
  • その気にさせない状況を作る。
  • 言い訳を許さない状況を作る。

 

 情報セキュリティにもあてはまる。

 

攻撃者の種類

 代表的な攻撃者の種類には次のようなものがある。

 

  • スクリプトキディ…簡単なクラッキングツールを使って不正アクセスをする。幼稚な攻撃者という意味合い。
  • ボットハーダー…ボットを統制し、ボットネットを利用して攻撃する。
  • 内部関係者…組織に対して悪意を持っている関係者。アクセス権限を利用する。
  • 愉快犯…人が恐怖に怯えるさまを見て喜ぶことを目的としている。
  • 詐欺犯…フィッシング詐欺、本物そっくりのWebサイトで個人情報などを窃取。
  • 故意犯…故意に犯罪をするもの。逆は過失犯。

 

攻撃の動機
  • 金銭奪取…金銭を不当に得ることが目的。個人情報など金銭に繋がる情報を目当てにすることもある。
  • ハクティビズム…ハッカーの思想。政治的・社会的な思想を基にハッキングする。
  • サイバーテロリズム…ネットワークを対象としたテロ。人や社会機能に深刻な打撃を与えることが目的。

情報セキュリティとは?関連ページ

サイバー攻撃手法
サイバー攻撃にはさまざまな手法があります。代表的なものを紹介します。