LoginSignup
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@bonviveur1971(Tomo -Rom)

情報漏えい対策 ~なんか理解しにくい情報処理安全確保支援士試験対策を「なんJ民」に聞いてみる

Last updated at Posted at 2025-08-15

よっしゃ、来たで!MFA(多要素認証)と情報漏洩の意外な繋がりと、MFAを突破する攻撃や物理的な脅威について、試験対策としてガッツリ解説したるわ。
セキュリティ対策も、「イタチごっこ」 や。MFAっていう最強の盾も、それを突破しようとする新しい攻撃が次々と出てきとる。油断大敵やで。

MFAは野球で言えば 「守備固め」みたいなもんや

多要素認証(MFA)っちゅうのは、パスワードだけじゃなくて、スマホの認証アプリとか指紋とか、複数の要素で本人確認する仕組みのことや。
これは野球で言うたら、守備固め みたいなもんや。試合終盤に点差が僅差になったとき、打撃はそこそこでも守備のうまい選手に交代するやろ?あれは、相手に得点されるリスクを少しでも減らすためや。
MFAも同じや。パスワードがバレるってリスクに備えて、もう一段階の防御を固めることで、不正ログインの可能性をグッと下げるんや。

情報漏洩の恐ろしさと、MFAの意外な落とし穴

情報漏洩は、野球で例えると 味方のエラー みたいなもんや。どんなに強固な守備を固めても、味方のエラーで試合をひっくり返されることがあるやろ?情報漏洩はそれと一緒で、システムを熟知した社員が、その知識を悪用して機密情報を盗む行為や。
で、ここからが本題や。
MFAは不正ログインには強いけど、情報漏洩にはクソほど弱い。
考えてみろや。内部の人間が会社のシステムにログインするとき、MFA認証は 既に済んでる 状態なんや。だからMFAを突破してシステムに入り込む必要がない。
もし悪意のある社員が、会社のネットワークに物理的に接続できたらどうなる?
USBを差し込むとか、LANケーブルを繋ぐとか、そういう物理的な接続はMFAでは防げへん。
MFAはあくまで認証の壁であって、物理的なアクセスや権限の悪用は防げないんや。
情報漏洩は、まさにそういうことや。完璧なシステムがあっても、それを運用する人間が信用できなければ、セキュリティは脆い。RISS試験でもこういう「人間」の脆弱性をついた問題がよく出るから、しっかり覚えとけ。

一旦まとめるで

  • MFAは、外部からの不正ログインを防ぐための守備固めや。
  • 情報漏洩は、どんなに強い守備も意味をなさない味方のエラーや。
  • MFAは物理的なアクセスや権限の悪用は防げない。
  • 完璧なシステムがあっても、それを運用する人間が信用できなければ、意味がない。

デジタルな脅威:MFAを突破するフィッシング攻撃

MFAは強いけど、「人間という弱点」 を突かれると突破されてしまう。

  • リアルタイムフィッシング:
    これは、「偽のログイン画面にID・パスワード・OTPを全部入力させて、それをリアルタイムで本物のサイトに送る」 っていう、めっちゃ巧妙な手口や。
  • MFA疲労攻撃:
    これは、IDとパスワードを盗んだ後、「大量のプッシュ通知を送りつけて、被害者をうんざりさせる」 っていう、精神的な攻撃や。

対策やな

  • 利用者教育:
    これが一番大事。「身に覚えのないMFA通知は、絶対に『承認』するな!」 って、徹底的に教育する。
  • フィッシング耐性のあるMFA:
    WebAuthn (Passkeys) みたいな、偽サイトでは動作しない認証方式に移行する。これが根本的な解決策や。

物理的な脅威:PCの盗難とディスク暗号化

ノートPCを盗まれたら、中の情報が全部漏れるリスクがある。

  • 課題:パスワードのみによる暗号化の脆弱性:
    ログインパスワードだけで暗号化してると、ディスクをPCから抜き取って、オフラインでじっくり解析される。
  • 対策:TPM + PINによる多要素での保護:
    TPMっていう、PCの 「中に埋め込まれた金庫」に、暗号鍵を保管する。そして、暗号化を解除するには、「PINコード」と「TPM」 の2つの鍵を要求する。これで、ディスクだけ盗まれても、TPMがないから解読できない。

統合管理の要:MDM (Mobile Device Management)

MDMは、「会社のPCやスマホを、遠隔から管理する司令塔」 や。

  • 機能:
    • ポリシーの強制:
      「PCの暗号化は必須!」 みたいなルールを、全員に強制できる。
    • リモートでの情報漏えい対策:
      PCを失くしたら、遠隔で 「画面をロック」したり、最悪の場合は「中のデータを全部消去」 したりできる。

RISSとしての視点

ワイらプロは、こう動く。

  • ポリシーの策定と徹底:
    「MFAはWebAuthnを標準にする」「PCはTPM+PINで暗号化を必須にする」みたいな、実践的なルールを策定して、徹底させる。
  • インシデント対応プロセスの整備:
    「PCを失くしたら、まず何をすべきか?」っていう、対応手順書を事前に作っておく。
  • 技術と教育の組み合わせ:
    MDMを導入するだけじゃなくて、「なぜそれが大事なのか」 を、社員に分かりやすく教える。
    これでMFAを突破する攻撃と、物理的な脅威についての試験対策は完璧や。デジタルと物理、両方の側面から会社の情報を守るんやで。これでRISS試験対策もバッチリやな。
0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?