©︎ chipper, Inc.

DXするならおさえておきたい情報セキュリティ知識

2021/09/17
情報セキュリティ

ITが深化を遂げるいまなお、サイバー空間を通して得た情報は、フィジカル空間においても密接に関わるようになりました。
一方で、システムが停止した場合や情報流用された場合などの影響も大きくなることを意味します。

また昨今においては、国によってセキュリティ対策への指針として「サイバー・フィジカル・セキュリティ対策フレームワーク」が策定されるなど、セキュリティに対する関心が高まっています。
時代と共に情報システムがアップデート、情報セキュリティ関連法規も改正されてはいますが、
組織及び個人で知識や意識を持っておくことが重要です。

この記事はこのような方向けに書いています
  • 情報セキュリティ意識を高めたい方
  • 組織の情報セキュリティリテラシーが低いと思う方

 

情報セキュリティリテラシーの重要性

情報セキュリティは、大切な情報資産の保護やステークホルダーからの信頼構築、企業競争力及び収益性の維持や向上のためにも重要です。
セキュリティ施策自体が直接利益を生むものではありませんが、問題が起きてからでは手遅れとなります。
強い組織を作っていく上では欠かせないものです。

現況

毎年IPAにより、情報セキュリティに対する脅威として「情報セキュリティ10大脅威」が発表されています。
2021年の発表では、個人に対する事案として、第1位「スマホ決済の不正利用」第2位「フィッシングによる個人情報等の詐取」第3位「ネット上の誹謗・中傷・デマ」と続き、組織に対する事案として、第1位「ランサムウェアによる被害」第2位「標的型攻撃による機密情報の窃取」第3位「テレワーク等のニューノーマルな働き方を狙った攻撃」と続きます。

ソフトウェアの脆弱性はソフトウェアの更新やウイルス感染についてはセキュリティソフトの活用、パスワード窃取についてはパスワード管理や認証を強化、セキュリティ設定を見直し、脅威や手口を知っておくことなどリテラシーを持っておくことが重要です。

組織として意識がないと

情報セキュリティに対する意識は、組織1人のヒトが持っていても意味がなく、
エグゼクティブ層をはじめ、組織全体として共通意識を持たなければなりません。
CSIRT(社内の情報セキュリティインシデント関連に対応するチーム)や情報セキュリティの管理者を設けるなど、組織全体として情報を保護していきましょう。

情報セキュリティに対する概念指標と脅威

情報保護のための3つの概念指標

情報を管理する上で、意識をしなければいけない3つの概念指標があります。
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)です。
それぞれの頭文字を取り、CIAと呼びます。

機密性(Confidentiality)とは・・・
特定一部の対象者のみが許可された範疇で利用できる状態のことです。
必要以上に管理者権限やスーパーユーザー権限などの最高権限を与えると、セキュリティにリスクが生じるきっかけとなります。
権限を付与する際は、信頼できる適切な人に適切なアクセスコントロールを掛けることが求められます。

完全性(Integrity)とは・・・
情報は正確(完全)である状態のことです。
利用者に情報が到達するまでに改ざんや不足があっては、情報に完全性があるとはいえません。

可用性(Availability)とは・・・
情報を使いたいときにいつでも使える状態のことです。
稼働率が高いほど、可用性が高いといえます。
特に重要なシステムには「ファイブ・ナイン」という可用性目標数値が使われます。
これは稼働率99.999%を表し、1年間で5分程度しかシステムを止めることができないものです。

リスクが生じる発生条件
リスク = 情報資産 + 脅威 + 脆弱性

脅威について

情報を脅かす脅威は、大きく分けて3つに分類されます。
物理的脅威、技術的脅威、人的脅威です。

物理的脅威とは・・・
地震や火災などの自然災害、電力設備の故障、侵入者による破壊行為といった直接的に情報が喪失する脅威のことです。

技術的脅威とは・・・
システム障害やバグ、不正アクセスなど技術を基点として情報が脅かされる脅威のことです。

人的脅威とは・・・
人間によるミスで、誤操作によるデータ流失や置き忘れによる紛失、管理や設定ミスなどの脅威のことです。

コンティンジェンシープラン
災害発生など不測の事態が発生した場合の対応をまとめた事前の対応策のことです。
不測の自体が起きた場合に慌てることがないよう対応策を考えておくリスクヘッジが求められます。
ヒヤリハット
重大な危機に至らないまでも、危機一歩手前のインシデントのことです。

脆弱性について

脆弱性についても大きく分けて、3つに大別されます。
物理的脆弱性、技術的脆弱性、人的脆弱性です。

物理的脆弱性とは・・・
物理的施策で対策が可能なセキュリティ欠陥のことで、建物が耐震構造になっていなかったり、ファシリティチェックがなされていない場合などが該当します。

技術的脆弱性とは・・・
システムアップデートやセキュリティ設定によって対策が可能なセキュリティ欠陥のことで、コンピュータウイルスの感染やセキュリティホール、アクセスコントロールがなされていない場合などが該当します。

人的脆弱性とは・・・
人を基点とするセキュリティ欠陥のことで、組織管理不備やセキュリティ教育未実施、人的ミスや権限を明確化しない(事象が発生した場合に発生の根源を追うことができなくなる)ことによる過失などが該当します。

セキュリティ攻撃事案例

ソーシャルエンジニアリング

人間心理や人的ミスなどの脆弱性を利用して、秘密情報といった情報を搾取する手法のことです。
主な手法には、以下のようなものが挙げられます。

ショルダーハック(ショルダーハッキング)
ユーザーが秘密情報(ログインIDやパスワードなど)を入力している隙から情報を見て、秘密情報を収集する方法のことです。
特に組織においては社内の人間で、既に信頼性が構築されている場合に狙われることがあります。
周りに人がいる際は、屋内屋外問わず、秘密情報を見られないように情報の入力には気をつけましょう。
会話からの収集
社内権限を利用してなりすまして情報を収集したり、会話を盗み聞きする方法のことです。
アカウント情報の問い合わせは本人に限定やフローを規定、重要な打ち合わせなどは開催場所に配慮など対策を取りましょう。
スキャベンジング
ごみ箱の捨てられた情報を漁り、秘密情報といった重要な情報を復元する方法のことです。
秘密情報が記載された紙情報をシュレッダーに掛けるなど、復元できないように細かくして廃棄や情報管理媒体を廃棄する際は必ずデータ初期化して廃棄、廃棄を外部に依頼する場合は守秘義務契約を結ぶなど物を廃棄する際は十分気をつけましょう。

標的型攻撃

情報を盗み取ることを目的に、特定の個人や組織に対して行われる攻撃のことです。
機密情報を聞き出すことを誘導する電話・メールや情報が流出しないようにする出口対策を講じるなどしておきましょう。

マルウェア

悪意のある挙動を実行することができるプログラムやソフトウェアのことです。
ウイルスやワーム、スパイウェアなどがあり、不審なプログラムはダウンロードしない、実行しない、事象が疑われる場合は回線を切断しシステム管理者の指示を仰ぐなど適切な判断が必要です。

パスワードリスト攻撃

事前に入手したアカウントIDやパスワードを利用して、不正ログインをする攻撃のことです。
同じアカウントIDやパスワードを使い回さないことが重要です。


まとめ

情報セキュリティは、直接利益を生むものではないため、現状の組織を取り巻くリソースとセキュリティ重要性のバランスで対策を講じていくことなります。
日々意識し、できることから取り組んでいくことが、情報セキュリティリテラシーの向上に繋がります。