情報セキュリティの要素
機密性・完全性・可用性に加えて、責任追及性・真正性・否認防止・信頼性の7つを情報セキュリティの7大要素といいます。前半の「機密性・完全性・可用性」は、英語の「Confidentiality、Integrity、Availability」の頭文字をとって、情報のCIAといいます。
機密性
情報資産を正当な権利を持った人だけが使用できる状態にしておくことです。情報漏えい防止、アクセス権の設定、暗号の利用などの対策があります。
完全性
情報資産が正当な権利を持たない人により変更されていないことを確実にしておくことです。
改ざん防止、検出などの対策があります。
可用性
情報資産を必要なときに使用できることです。電源対策、システムの二重化、バックアップ、災害復旧計画などの対策があります。
真正性
真正性(Authenticity)とは、情報が正しいものであり、かつそれを証明できることです。「組織や企業が主張する通りである」と確実にする特性とも言えます。情報にアクセスする利用者が本人であることを確認し、明確にすることで、なりすましの防止や不正ログイン防止対策となります。
責任追跡性
責任追跡性(Accountability)」は、企業や個人などが行った動きを追跡できる特性です。データへのアクセス状況や、閲覧したデータの操作ログを残すことで、いつ誰がどのような行為に至ったのかを可視化できます。また、インシデントが発生した場合、データの追跡記録の証拠があると犯人特定が容易となります。
信頼性
信頼性(Reliability)とは、データやシステムを利用する際に、意図した通りに動作が行われているかを示す特性です。情報セキュリティは信頼性を高めるためにも、システムの不具合等を起こさないようなシステムの設計や構築を行うことが必要です。
否認防止
否認防止とは、ある人物がある行為を行なったことを、後になって否定できないようにすることです。確かに本人が行なったと証明できる証拠を改ざんできない方法で保管しておくことなどの対策があります。操作や通信のログ(記録)を消去・改竄できない方法で残したり、タイムスタンプ技術を用いてある時点における文書などのデータの存在証明を行なったり、デジタル署名により本人がその行為を行なったことを証明することなどが否認防止の概念に含まれます。
情報セキュリティポリシー
情報セキュリティポリシーとは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。情報セキュリティポリシーには、社内規定といった組織全体のルールから、どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に記載するのが一般的です。
データガバナンス
データガバナンスとは、データの収集、蓄積、活用、設計、運用・保守を継続的に行うデータマネジメントの実行活動に対し、経営・ビジネスの観点から全社横断の方針・プロセス・ルール・体制を定め、これを監視・評価・サポートすることで、データ活用による効果の最大化とリスクの最小化を実現する取り組みです。
情報セキュリティ教育
情報セキュリティ教育とは、サイバー攻撃やマルウェアへの感染といったセキュリティインシデントを防ぐための教育です。 従業員に対してどのような脅威が存在するのか、またどういった経緯で事故が起きるのかといったことを周知し、注意喚起します。
情報セキュリティの脅威
情報システムのセキュリティには多くの脅威があります。外的なものだけでなく組織内部が起因となる脅威も存在します。
情報漏洩・改ざん・消失
代表的な情報セキュリティインシデントです。主な原因は技術的要因(操作ミスなど)、非技術的要因(紛失など)、外部要因(不正アクセスなど)です。
システム停止・性能低下
システムに異常が発生すると、サービス継続のための縮退運転やシステムの切り戻しなどの対処が必要になります。それらの対処の結果、システム停止・性能低下が発生します。
不正アクセス
不正アクセスとは、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。その結果、サーバや情報システムが停止してしまったり、重要情報が漏洩(ろうえい)してしまったりと、企業や組織の業務やブランド・イメージなどに大きな影響を及ぼします。
インターネットは世界中とつながっているため、不正アクセスは世界中のどこからでも行われる可能性があります。
オペレーションミス(メール誤送信,端末紛失等)
従業員の操作ミス、運用ミスによって情報セキュリティインシデントが発生します。防止策は、従業員の教育、利用者制限、宛先制限、上司などによる承認などがあります。
マルウェア(ウイルス,ワーム,スパイウェア,ランサムウェア等)
マルウェアとは、プログラム可能なデバイス、サービス、ネットワークに害を与えたり、悪用したりすることを目的とした悪意のあるソフトウェアの総称です。
- コンピュータウイルスとは、マルウェアの一種で、自立せず、動的に活動せず、プログラムファイルからプログラムファイルへと静的に感染します。宿主となる正常プラグラムの一部として自らを感染させ、有害な処理を行います。
- ワームは、ウイルスに類似していますが、宿主を必要とせず、単独で侵入して有害な処理を行います。
- スパイウェアは、ユーザーが閲覧したホームページの履歴・実行した操作の内容・メールアドレス・インストール済みのプログラムなどの個人情報を、プログラムの提供元に送信することを主な目的としたプログラムです。
- ランサムウェアは、感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求するメッセージ(ランサムノート)を表示します。 なお、ランサムウェアという言葉はRansom (身代金)とSoftware (ソフトウェア)を組み合わせた造語です。
DoS・DDoS
DoS攻撃とは「Denial of Service attack」の略です。1台のパソコンを使い、ターゲットのサーバに負荷をかけるサイバー攻撃を指します。狙われたサーバは攻撃の対処に多くのリソースを割くことになり、システムダウンを強いられます。
DDoS攻撃は「Distributed Denial of Service attack」の略で、複数のパソコンを踏み台にしてサーバを攻撃するサイバー攻撃です。攻撃者はマルウェアなどを用いて他者のパソコンを自分の支配下に置き、それらのパソコンを使ってターゲットであるサーバを攻撃します。
標的型攻撃
標的型攻撃とは、不特定多数の対象にばらまかれる通常の迷惑メールとは異なり、対象の組織から重要な情報を盗むことなどを目的として、組織の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたウイルス付きのメールのことです。
フィッシング詐欺
フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことです。
ファーミング詐欺
ファーミング詐欺 (Pharming)とは、金融機関などのサイトとそっくりな偽のサイトを作り、クレジットカード情報、暗証番号といった個人情報を盗み出す行為のことです。
ワンクリック請求
ワンクリック請求(ワンクリック詐欺)は、Webサイト・メール・SNSなどに記載されているURLをクリックするだけで、不当な料金を請求される詐欺の手法です。最近は手口も多様化し、あたかも契約成立と見せかけ「支払をしなければならないかも」と、不安を煽る手法も増えています。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。パスワードが書かれたメモや、パスワード入力画面を盗み見る、情報システム部門の担当者をよそおって電話をかけ、システムにログインするためのIDとパスワードを聞き出すといった手口があります。
脆弱性(セキュリティホール)
ソフトウェアのバグや設定ミス等セキュリティ上の弱点のことです。不正操作やデータの不正取得などを可能にする足がかりになります。ソフトウェアのバグの場合、発見後配布されるセキュリティパッチを直ちに適用し、セキュリティホールを塞ぐことが必要です。
情報セキュリティ対策技術
ウイルス対策ソフト
ウイルス対策ソフトウェアとは、脅威の可能性のあるコンピュータウイルスなどを検知して、排除してくれるソフトウェアのことです。
パスワード強化
パスワードを強化することで、セキュリティを強化することができます。パスワードが短かったり単純だったりすると、推測されやすくなり、不正アクセスの危険性が高まります。また、定期的にパスワードを変更することで、不正アクセスがなくても自分自身でパスワードを漏洩するリスクを低減することができます。
アクセス制御・アクセス権限設定
アクセス制御とは、コンピュータやネットワークにアクセスできるユーザーを制限する機能のことです。アクセス権限設定は、権限(読み出し、書き込み、作成、削除、プログラム実行)の登録・管理を行うことです。
アクセスログ分析
ホームページにユーザーがいつ、どこから訪問(アクセス)したのか、どのような検索キーワードで調べてきたのかなど、利用状況の記録(ログ)を集計し、分析することを「アクセスログ分析」といいます。ログ管理を行っていれば、パソコンやサーバ、システムにいつだれがアクセスしたかを把握できます。 情報漏洩が発生した際にその経緯を把握したり、ログ管理を行うことで不正アクセスを抑止したりできます。
脅威攻撃の手口学習
一般従業員に対してセキュリティ教育を行う際に、実際の攻撃手口を学習させることによって教育効果が高まります。
ファイアウォール・侵入検知
ファイアウォールは、ネットワーク通信において、その通信をさせるかどうかを判断し、許可または拒否する仕組みです。
侵入検知システム(しんにゅうけんちシステム。 Intrusion Detection System。 略して IDS)はシステムやネットワークに発生するイベントを監視し、それを分析する事で、ホストやポートをスキャンするような偵察行為や不正侵入などインシデントの兆候を検知し、管理者に通知するシステムです。
暗号化・電子署名(デジタル署名)
暗号化とは、デジタルデータを、第三者に解読できない状態に変換することです。一定の規則(アルゴリズム)に従ってデータを変換することで、読み取り不可能なデータ(暗号文)に変換します。また、暗号文を再変換し、元の判読できる状態(平文)にすることを「復号化」といいます。
電子署名とは、インターネット上で電子化された文書に対して行われる電子的な署名です。
紙文書のサインや印鑑に相当し、電子文書に電子署名を行うことで間違いなくその文書が署名者本人のものであることと、内容が改ざんされていないことを証明します。
VPN
VPNは、”Virtual Private Network”の略称で、日本語にすると「仮想専用通信網」を意味します。VPN を利用することで、物理的にネットワークに接続されていないデバイスがネットワークに安全にアクセスできるようになります。
DMZ認証技術
DMZ(DeMilitarized Zone)は「非武装地帯」と訳され、「インターネット側に安全に公開できる領域」を指します。つまり、DMZは、外部に公開するために隔離した内部ネットワークを指します。
DMZの特徴は、外部ネットワークから内部ネットワークに不法な接続を試みたとしても、DMZ内のホストからは、内部におけるネットワークに接続できない点です。よって、メールサーバ、ウェブサーバ、DNSコンテンツサーバ、Proxyサーバといった、外部ネットワークからアクセスしやすいサーバのために使用されます。
生体認証
生体認証とは、身体的または行動的特徴を用いて個人を認証するものです。生体認証に用いられる身体的な特徴として、指紋、顔、静脈、虹彩(瞳孔周辺の渦巻き状の文様)などが、行動的特徴として、声紋(音声)、署名(手書きのサイン)などがあります。 生体認証は、広く個人認証として用いられているパスワードによる認証やICカードによる認証と比較して、パスワードの記憶やICカードの管理が不要なため利便性が高く、また、記憶忘れや紛失によるトラブルもないという長所があります
認証デバイス
1回限りの使い捨てパスワード (ワンタイムパスワード)を生成するOTPトークン、指紋認証デバイス、顔認証デバイスを指します。これらを、システムログイン時にパスワードの代わり、もしくは併用することで耐不正アクセス力を強化します。
多要素認証
多要素認証とは、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証することを指します。
情報セキュリティの認証制度
情報セキュリティマネジメントシステム(ISMS)
ISMSは、組織における情報資産のセキュリティを管理するための枠組です。ISMSの目標は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与えることです。
ISO/IEC 27001
ISMSを実現するための要求事項をまとめたものです。情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。
ISO/IEC 15408
コモンクライテリア (Common Criteria)と呼ばれ、情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。
プライバシーマーク
プライバシーマークは、個人情報の保護体制に対する第三者認証制度です。個人情報保護体制の基準への適合性を評価し、一般財団法人日本情報経済社会推進協会 が使用を許諾します。