振り返り
情報セキュリティとは3要素あり、どういった要素が満たされていれば情報セキュリティがしっかりしているといえるのかが理解できました。今回は「情報セキュリティリスク」について学習したことをまとめて行きたいと思います。
なぜ、リスクを考えるべきかと言うとこれらのセキュリティが甘いと損害やシステムに影響を起こりうる為、「情報セキュリティリスク」を知る必要性があるため今回学びました。
情報セキュリティとは3要素って気になった人は、こちらを参照ください。
情報セキュリティにおける「リスク」とは
情報セキュリティにおける「リスク」とは、損害や影響を発生させる可能性のこと。
情報セキュリティの構成要素は、不正アクセスなどの「脅威」とセキュリティホールなどの「脆弱性」に分けられる。
セキュリティホールとは、情報セキュリティを脅かすような、コンピュータの欠陥をいう。
引用:Wikipedia
情報セキュリティの脅威
情報セキュリティリスクを顕在化させるものが「脅威」。
脅威には、大きく分けて人に起因するもの、作業環境に起因するものがあります。人に起因する人為的脅威は、さらに意図的に起こされるものとそうでないものとに分類されます。
意図的脅威
外部の人間による悪意ある行為として、標的型攻撃やマルウェア感染、Webサイトの改ざんなど・・・
また、内部不正も、意図的脅威にあたる。
従業員や元従業員が機密データを持ち出し行為など。
環境的脅威
環境的脅威とは、地震や台風、落雷、火事といった自然災害のこと。
災害によってサーバーなどのハードウェアが使えなくなり、情報システムの停止に繋がる。
情報セキュリティの脆弱性
脆弱性とは、脅威によって突かれる弱点を指す。
情報セキュリティの脆弱性としては、
- ソフトウェアの脆弱性
メールの開封Webサイトを閲覧したりすることによりマルウェアに感染し、PCが使えなくなる、別のPCへ感染を広げるなどの現象が起こります。
情報セキュリティ対策として
- 標的型攻撃メールへの対策
- 従業員による機密データの持ち出しへの対策
- クラウドサービスにおけるデータ管理への対策
標的型攻撃メールへの対策
→標的型攻撃メールとは、メールにマルウェアが添付され、悪意あるメール。
情報を盗み出すマルウェアに感染し、機密情報が漏洩する恐れがある。これらを回避する方法として、
ウイルス対策ソフトは常に最新のバージョンに保つことが必要。
従業員による機密データの持ち出しへの対策
→企業の関係者による不正への対策としては、ユーザーアカウントを配布し、適切なアクセス権限を設定することが有効。
クラウドサービスにおけるデータ管理への対策
→十分な情報セキュリティ対策を行っているサービスを選定するのはもちろんのこと、サービス停止時のことも考え、定期的なバックアップの実施や代替システムの検討を行う。
まとめ
今回は、情報セキュリティにおけるリスクである「脅威」と「脆弱性」について、学習しました。具体的にどんな対策が必要なのか気になったので補足で入れさせて頂きました。一部の紹介となります。ご了承ください。