・情報を奪う脅威にはどのようなものがあるか
・情報を守る仕組みはどのようなものか
を知る
攻撃手法
■ソーシャルエンジニアリング
情報通信技術を用いずに行う情報の盗み出し行為
・ショルダーハッキング
画面を盗み見る
・トラッシング
ゴミから情報を盗む
・なりすまし
電話などで情報を聞き出す
■マルウェア
有害な動作を行うソフトの総称
・マクロウイルス
マクロ機能を利用して広がる
・ワーム
単独で複製し感染を広める
・トロイの木馬
必要なプログラムであるように見せかけて実行を促す
・スパイウェア
ユーザの知らないところで情報を収集する
・ボット
コンピュータを遠隔に動かすためのプログラム
■ランサムウェア
ターゲットのデータを暗号化し
解除と引き換えに金銭を要求するソフトの総称
■サイバーキルチェーン
サイバー攻撃における攻撃の手順を詳細な7つのフェーズに表し
その連鎖を断ち切ることが必要であるとする考え方
1.偵察 Reconnaissance
→2.武器化 Weaponization
→3.デリバリー Delivery
→4.エクスプロイト Exploitation
→5.インストール Installation
→6.C&C Command & Control
→7.目的の実行 Actions on Objectives
認証
■認証(ID・パスワード)
コンピュータを操作している人物が適切な人物であることを確認する操作
「IDとパスワードの組を本人しか知らない」という前提で成り立つ認証方法
■多要素認証(多段階認証)
IDとパスワードの組以外の要素を加えて用いる認証方法
(認証コードやワンタイムパスワードなど)
■生体認証(バイオメトリクス認証)
人間の身体的特徴や行動的特徴を用いて行う認証
指紋や顔、虹彩などを利用する
・本人拒否率
本人を拒否する割合のこと
・他人受入率
他人を誤って認証してしまう確率のこと
情報を守る技術
■盗聴・改ざん・なりすまし
・盗聴
不正に通信の内容を盗み見る
・改ざん
不正に通信の内容を変更する
・なりすまし
自分を偽って通信を行う
■公開鍵暗号・共通鍵暗号(盗聴を防ぐ)
・共通鍵暗号
同じ鍵を使って暗号化と復号化を行う
・公開鍵暗号
異なる2つの鍵を使って暗号化と復号化を行う
(共通鍵暗号の弱点を克服するもの)
■SSL/TLS・WPA2(盗聴を防ぐ)
・SSL/TLS:Secure Sockets Layer/Transport Layer Security
HTTP通信に使用される暗号化プロトコル
通信データの暗号化や改ざんの検出ができる
(HTTPSのSのこと)(HTTPはWebページの転送ができるサービスプロトコル、HTTPSは暗号化されたHTTP)
・WPA2:Wi-Fi Protected Access
無線LAN通信における暗号化プロトコル
■ディジタル署名(改ざん・なりすましを防ぐ)
データに署名をつけることで
自らが送っているデータであることを証明する
■ディジタル証明書(なりすましを防ぐ)
通信をしている相手を確かめる仕組み
■S/MIME(エスマイム):Secure/Multipurpose Internet Mail Extensions
電子メールに暗号化とディジタル署名を行うプロトコル
送信者と受信者の双方がこれに対応している必要がある
■TPM:Trusted Platform Module
セキュリティ処理を専門に行うチップ
物理的に守られた部品として安全性を高められる
セキュリティ対策
■脆弱性対策
OSなどのセキュリティパッチを常に最新にするなど
弱い部分をできるだけ少なくすること
■ファイアウォール
LANの内外を区切り、悪意のある通信をブロックする仕組み
■VPN:Virtual Private Network
インターネットにおいて専用の仮想的な通路を構築し
安全性の高い通信を行えるようにする技術
■コンテンツフィルタリング
あらかじめルールを指定し
そのルールをクリアするコンテンツのみを表示する
・ブラックリスト方式
ダメのことのリスト
・ホワイトリスト方式
OKなことのリスト
■ディジタルフォレンジック
ディジタルデータを分析して法的な証拠として使う手法
(ログイン履歴・アクセス履歴・削除されたデータの復元など)
■セキュリティバイデザイン
設計段階からセキュリティ対策を考えていくこと
■プライバシーバイデザイン
設計段階からプライバシー対策を考えていくこと
情報セキュリティマネジメント
■ISMS:Information Security Management System:情報セキュリティマネジメントシステム
情報セキュリティを高いレベルで保つための手法や事例が体系的にまとめられている
・セキュリティマネジメント3要素
ISMSにおける目標として達成すべき要素
1.機密性
情報の外部漏洩がない
2.完全性
情報が書き換えられることがない
3.可用性
利用者は必要なときに情報を使用できる
■情報セキュリティポリシ(基本方針・対策基準・実施手順)
組織や企業において実施するセキュリティ対策の行動指針
・基本方針:全体の目標や目的
・対策基準:大まかなルール
・実施手順:詳細なマニュアル
■CSIRT(シーサート):Computer Security Incident Response Team
コンピュータやネットワーク上での問題に対して迅速に対応するチームのこと
その他のセキュリティ基準
・PCI DSS:Payment Card Industry Data Security Standard
主要クレジットカード会社が策定したクレジットカードのセキュリティ基準
リスクマネジメント
■リスク
目的に対する不確かさの影響
危険
・リスクマネジメント
リスクを適切に管理するための枠組み
リスク特定→リスク分析→リスク評価→リスク対応
↑一連の流れを「リスクアセスメント」という
回避:リスクの要因を排除すること
共有:リスクを分散すること
保有:意図的に対策を見送ること
■シャドーIT
組織において管理部門の許可なく使用されているIT機器やサービス
■レピュテーションリスク
ネガティブな評判が広まることによって受ける損失に関するリスク
近年ではSNSの普及により、このリスクが高まっているといえる