自治体職員の勉強ブログ

日々少しずつでも成長

情報資産に対する脅威と対策②-②

情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2016年1月16日アクセス)の「Chapter Ⅲ 情報資産に対する脅威と対策②」の内容の一部を独自にまとめてみました。

(↑記事は読み飛ばしていただいても結構です。)  


【インターネット利用に関する脅威と対策(例)】

(脅威)
インターネット電子メールなどのネットワークを介しての情報に対しての脅威としては、盗聴(ネットワーク上の情報を盗み取ること)、不正アクセスや盗聴などによる漏えい、ファイルやデータの改ざんなどな考えられます。また、なりすましによっての不正アクセスや情報の漏えいなども考えられます。

その他、フィッシング(phishingコンピュータウイルススパイウェアキーロガーanonymous(匿名)FTPなどによる脅威もあります。

フィッシング・・・クレジット会社等の正規メールやWebサイトを装い、暗証番号やカード番号などを詐取する詐欺

コンピュータウイルス・・・ワーム(ネットワークを通じて他のコンピュータに伝染)、トロイの木馬(一見無害なプログラムを装う)、ボット(ネットを通じてコンピュータを外部から操るソフトウェア)、また、Winnyなどのファイル交換ソフトを悪用したウイルスがあります。

スパイウェア・・・コンピュータに保存されている個人情報やアクセス履歴などの情報を収集するプログラム。

キーロガー・・・キー入力情報を記録するソフトウェア。スパイウェアとして悪用されることもあります。

anonymous(匿名)FTP(File Transfer Protocol)・・・不特定多数が利用できるサーバで、第三者による不正中継に悪用される危険があります。

(対策)
盗聴・漏えい・・・暗号(内容が判別できないようにするため)

なりすまし・改ざん・・・デジタル署名メッセージ認証コードユーザ認証パスワード認証認証プロトコルPPPPAPCHAPなど))、メッセージ認証メッセージダイジェストPKIX.509公開かぎ証明書SSL

コンピュータウイルス・スパイウェアなど・・・既知のウイルスなどの特徴をパターンファイル(ただし、未知のウイルス(ゼロデイウイルス)については効果がありません。)に登録し、ウイルス検知を行います。ウイルスに感染した場合はコンティンジェンシープラン(緊急時対応計画)にて対応します。

暗号方式には、暗号化復号化に同じかぎを用いる共通かぎ暗号方式(必要なかぎ数=n(n−1)/2個)や異なるかぎを用いる公開かぎ暗号方式(必要なかぎ数=2n個)があります。
代表的な共通かぎ暗号方式には、DES(強度に問題あり)、AES(DESの後継)、RC(高速処理が可能)などがあり、代表的な公開かぎ暗号方式には、RSA(最も代表的な暗号方式)、楕円曲線暗号方式DSA(デジタル署名に利用)などがあります。
また、電子メールにおいては、S/MIME(電子メール暗号化とデジタル署名に関する国際規格)やPGP(電子メール暗号化ソフト)などの暗号化方式が使われます。

その他、セキュアな通信技術として、IPsecSSL-VPNL2TPなどがあります。