情報セキュリティの七要素
-
機密性
許可された人だけが情報にアクセスできるようにする。 -
完全性
情報が置き換えられたりすることなく、完全な状態を保っていること。 -
可用性
利用者が、必要な時に必要な情報資産を利用できるようにすること。 -
真正性
エンティティは、それが主張するとおりのものであるという特性。 -
責任追跡性
いつ、だれが、何をしたのかを特定・追跡できる特性。 -
否認防止
主張された事象又は処置の発生、およびそれらを引き起こしたエンティティを証明する能力。 -
信頼性
意図する行動と結果とが一貫しているという特性。
セキュリティリスクへの対応
-
リスクコントロール
「損失の発生を防止する、もしくは発生した損失の拡大を防止する」もの。 -
リスクファイナンシング
「損失を補填するための財務的な備えを講ずる」もの。
不正のトライアングル
-
機会
不正行為の実行を可能または容易にする環境が存在すること。 -
動機・プレッシャー
ノルマによるプレッシャーなど不正を働く動機があること。 -
姿勢・正当化
不正行為を自身で正当化させ得る自分勝手な心理状態にあること。
ユーザーの認証方法
-
バイオメトリクス認証
指紋や声紋など身体的特徴を使って個人を識別する認証方法。 -
ワンタイムパスワード
一度限り有効という、使い捨てのパスワードを用いる認証方法。
トークンと呼ばれるワンタイムパスワード生成器を使う形が一般的である。 -
コールバック
一旦アクセスした後で回線を切り、逆にサーバー側からコールバックさせることでアクセス権を確認する認証方法。
様々な不正アクセスの手法
-
パスワードリスト攻撃
どこからか入手したID・パスワードを用いて、他のサイトへのログインを試みること。 -
ブルートフォース攻撃
特定のIDに対し、パスワードとして使える文字の組み合わせを片っ端から全て試す手法。 -
リバースブルートフォース攻撃
パスワードを固定において、IDとして使える文字の組み合わせを片っ端から試す手法。 -
レインボー攻撃
ハッシュ値から元のパスワード文字列を解析する手法。 -
SQLインジェクション
悪意のある問い合わせや操作を行うSQL文を埋め込み、データベースのデータを不正に取得したり、改ざんしたりする手法。 -
DNSキャッシュポイズニング
DNSのキャッシュ機能を悪用して、一時的に偽のドメイン情報を覚えさせることで、偽造Webサイトへと誘導する手法。 -
DoS攻撃
-電子メールたWebリクエストなどを、大量にサーバーに送り付けることでネットワーク上のサービスを提供不能にする手法。 -
DDoS攻撃
-複数のコンピュータから一斉に電子メールやWebリクエストなどを、大量にサーバーに送り付けることでネットワーク上のサービスを提供不能にする手法。 -
フィッシング
偽装Webサイトに利用者を誘導し、暗証番号をはじめとする個人情報を不正に取得しようとする手法。 -
ルートキット
不正アクセスに成功したコンピュータに潜伏し、攻撃者がそのコンピュータをリモート制御できるようにするソフトウェアの集合体のこと。 -
ルートキット
侵入者やマルフェアの挙動を監視するために、意図的に脆弱性を持たせた機器をネットワーク上に公開し、おとりとして用いる手法のこと。