行き止りになった人
情報システム部門 2021年11月12日

脅威と脆弱性

私が今学習中の『IPA情報セキュリティマネジメント試験』ですが、前回の記事でサイバーセキュリティ経営ガイドラインについて書きました。

今回も『情報セキュリティマネジメント』について覚えたことをみなさんに紹介していけたら良いなと思っています。みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。

安心してインターネットを使うために、『情報セキュリティマネジメント』を少しでも身近に感じて頂ければ幸いです。

脅威の種類

脅威とは、システムや組織に損害を与える可能性がある原因です。損害を起こさないために、どんな種類があるのか事前に把握する事は大切だと思います。学習をすすめる中で出てきた脅威の種類を紹介していきたいと思います。

物理的脅威(直接的に情報資産が被害を受ける脅威)
…事故、災害、故障、破壊、盗難、不正侵入 ほか

技術的脅威(ITなどの技術による脅威)
…不正アクセス、盗聴、なりすまし、改ざん、エラー、クラッキング ほか

人的脅威(人によって起こされる脅威)
…誤操作、紛失、破損、盗み見、不正利用、ソーシャルエンジニアリング ほか

脅威というと、技術的なイメージが強かったのですが、それ以外にも物理的なものや人的ものがあるのか。と、驚きました。万が一これらの脅威と対時した場合は、事前に対策を考えておかないと慌ててしまうだろうな。と思いました。

人的脅威の原因

人によって引き起こされる脅威は、攻撃をしようと思って行われる故意だけではなく、ミスによって起こる過失や、言葉や知識、考え方そのものに誤りがある誤謬(ごびゅう)の可能性もあるそうです。また、会社に許可されていない端末を持ち込んで使用する事はシャドーITと呼ばれ、人的脅威とされてます。

人的脅威の内容を見ていくと、自分でも過去に思い当たる事があります。誤操作によって必要な情報を削除してしまったり、単純な打ち間違いをしたり、プライベートのスマホを会社のWifiに許可なく接続しようとしたり。普段何気なくやっている事も注意が必要だと感じました。

脅威の具体例

インターネット上の不正や妨害行為

脅威の具体例としては、上記の他に、サイバー攻撃、情報漏えい、不正行為、妨害行為、サービス妨害、インターネット上の風評・炎上、SNS(Social Networking Service)の悪用、SPAM(迷惑メール)、ファイル共有ソフト、マルウェア、不正プログラムなどもあります。

脅威にはとてもたくさんの種類があります。普段気軽に利用しているIT資産ですが、あらゆる事態を想定して、情報セキュリティについてしっかり考えておく必要があるな。と改めてと実感します。

脅威の代表的なものとして、マルウェア・不正プログラムについて詳細が書かれていたので、一部掘り下げて紹介していきます。

マルウェア・不正プログラム

偽サイトに誘導された男性

マルウェアとは悪意のあるソフトウェアの総称です。マルウェアがコンピュータにインストールされると、様々な影響が出ます。代表的なものを紹介していきます。

ルートキット

ルートキットは、マルウェアが活動することを手助けするツールがパッケージ化されたものです。不正アクセスした後、本来パソコンに記録されるはずの活動記録を消して、マルウェアの検知を遅らせることができます。他にも次のマルウェアが侵入しやすいように裏口をあけたり(バックドア)、キーボードで入力した個人情報や機密情報を外部のパソコンに送信したりすること(キーロガー)もできます。

ウイルス(コンピュータウイルス)

ウイルスは自己伝染機能を使って増殖し、潜伏機能を使って決められた条件が整うまで症状を出しません。条件が整うと発病機能を使ってファイルを削除したり、メッセージを表示したりします。潜伏する宿主が必要なもの(狭義のウイルス)から宿主が必要ないもの(広義のウイルス)まで広範囲にわたって表現されることがあります。マルウェアはウイルスの上位の総称になります。

ワーム

ワームは潜伏する宿主が必要ないので、自己複製機能を使って増殖していきます。他のファイルやプログラムに寄生せず、単独のプログラムとして活動することができ、ウイルスより感染が強力です。

ランサムウェア

システムを暗号化するなどしてアクセスを制限して、その制限を解除するための代金(身代金)を要求するソフトウェアです。代表的なランサムウェアに2017年話題になった”WannaCry”があります。

今まで漠然と理解していた脅威やマルウェア(コンピュータウイルス)ですが、脅威の種類やマルウェアの具体例を見ていくと、実に巧妙に考えられているな。と不安を感じる部分があります。しかし、理解を進めることによって全体を把握して、少し自信が出てきた気もします。対策する糸口が見つけられるのではないでしょうか。

「情報セキュリティマネジメント」は奥が深くて大変そうですが、IT資産の利用はセキュリティ投資とセットで考えていくことがとても重要だと思います。できることで良いので少しずつ対策を取って行けたらと思います。

弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。

 

記事の著者:

Web制作ならアズシエルにご相談ください。

Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!

この記事をSNSでシェアする!