情報資産に対する脅威と対策②-②
情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2016年1月16日アクセス)の「Chapter Ⅲ 情報資産に対する脅威と対策②」の内容の一部を独自にまとめてみました。
(↑記事は読み飛ばしていただいても結構です。)
(脅威)
インターネットや電子メールなどのネットワークを介しての情報に対しての脅威としては、盗聴(ネットワーク上の情報を盗み取ること)、不正アクセスや盗聴などによる漏えい、ファイルやデータの改ざんなどな考えられます。また、なりすましによっての不正アクセスや情報の漏えいなども考えられます。
フィッシング・・・クレジット会社等の正規メールやWebサイトを装い、暗証番号やカード番号などを詐取する詐欺。
コンピュータウイルス・・・ワーム(ネットワークを通じて他のコンピュータに伝染)、トロイの木馬(一見無害なプログラムを装う)、ボット(ネットを通じてコンピュータを外部から操るソフトウェア)、また、Winnyなどのファイル交換ソフトを悪用したウイルスがあります。
スパイウェア・・・コンピュータに保存されている個人情報やアクセス履歴などの情報を収集するプログラム。
anonymous(匿名)FTP(File Transfer Protocol)・・・不特定多数が利用できるサーバで、第三者による不正中継に悪用される危険があります。
(対策)
盗聴・漏えい・・・暗号(内容が判別できないようにするため)
なりすまし・改ざん・・・デジタル署名、メッセージ認証コード、ユーザ認証(パスワード認証、認証プロトコル(PPP、PAP、CHAPなど))、メッセージ認証(メッセージダイジェスト、PKI、X.509公開かぎ証明書、SSL)
コンピュータウイルス・スパイウェアなど・・・既知のウイルスなどの特徴をパターンファイル(ただし、未知のウイルス(ゼロデイウイルス)については効果がありません。)に登録し、ウイルス検知を行います。ウイルスに感染した場合はコンティンジェンシープラン(緊急時対応計画)にて対応します。
暗号方式には、暗号化と復号化に同じかぎを用いる共通かぎ暗号方式(必要なかぎ数=n(n−1)/2個)や異なるかぎを用いる公開かぎ暗号方式(必要なかぎ数=2n個)があります。
代表的な共通かぎ暗号方式には、DES(強度に問題あり)、AES(DESの後継)、RC(高速処理が可能)などがあり、代表的な公開かぎ暗号方式には、RSA(最も代表的な暗号方式)、楕円曲線暗号方式、DSA(デジタル署名に利用)などがあります。