自治体職員の勉強ブログ

日々少しずつでも成長

情報資産に対する脅威と対策②-①

情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2016年1月11日アクセス)の「Chapter Ⅲ 情報資産に対する脅威と対策②」の内容の一部を独自にまとめてみました。

(↑記事は読み飛ばしていただいても結構です。)  


【コンピュータ利用に関する脅威と対策(例)】

(脅威)
コンピュータ利用に関する脅威としては、パスワードの悪用をきっかけとした不正侵入によるものが考えられます。パスワード取得のためには、辞書攻撃ブルートフォース攻撃オンライン攻撃オフライン攻撃や、なりすましスキャベンジンショルダーハッキングなどのソーシャルエンジニアリングが行われます。

辞書攻撃・・・パスワードになりそうな文字列や辞書に載ってる単語を試す手法。

ブルートフォース攻撃・・・パスワードに考えられる全ての組み合わせを試す手法。

オンライン攻撃・・・動作しているコンピュータにID・パスワードを順に送る手法。

オフライン攻撃・・・パスワードを格納している、もしくは、パスワードがかけられているファイルを入手する手法。

なりすまし・・・上司等のふりをして電話等でパスワード等を聞き出す手法。

スキャベンジン・・・ゴミ箱をあさるなどしてパスワード等を収集する手法。

ショルダーハッキング(ショルダーサーフィン)・・・パスワード等を入力する様子を背後等からのぞく手法。

ソーシャルエンジニアリング・・・技術的攻撃をかけるのではなく、パスワード等を知る人間やその周辺から入手する手法の総称。

(対策)
ユーザーID・パスワードについては、複数人で共有させない、IDごとに適切な長さの類推しにくい文字列のパスワードを設定、初期パスワードを速やかに変更し、その後もパスワードを定期的に変更紙などに記録しない、という管理が重要です。

また、アクセス管理を行うことにより、外部からの脅威を軽減できます..。アクセス管理には、セキュリティ管理者のみアクセス権限を変更でき、高レベルでセキュリティを確保できる、強制アクセスコントロール(MAC : Mandatory Access Control)方式や、セキュリティ管理者が対象となる情報資源の所有者にアクセス権限の設定をゆだねる、自由裁量的アクセスコントロール(DAC : Discretionary Access Control)方式があります。

さらに、ログを管理(収集・分析・保管)することによって、不正アクセスを未然に防止することができます。ログとは、コンピュータの利用状況を記録したファイルやデータのことです。

そして、もしも不正侵入によってデータ改ざんや破壊が行われた場合のために、データを定期的にバックアップしておき、そのデータをリストアする必要があります。
バックアップには、すべてのデータをバックアップするフルバックアップやその後の変更データのみをバックアップする差分バックアップがあり、前者の方が時間がかかる場合があるようです。


**********


昔、情報セキュリティ面でのよくある危険は後ろから覗き込まれること(いわゆるショルダーハッキングというソーシャルエンジニアリングの一つ)だとテレビでやっていて(といってもうろ覚え)、その原始的な方法に驚いた記憶があります。
確かに盗み見というのは、何か情報を得ようとする場合、一番にとるであろう方法であろうし、そうした形で見た人には、その情報を悪用しようという意図が既にある程度含まれる可能性も高いわけです。
情報セキュリティと聞けば「高度」な内容だと感じがちですが、意外と初歩的なことへの意識をもつことが実際は大切であるのかも知れません。