はじめに
【入門】情報セキュリティ管理基礎でも紹介しましたが、情報セキュリティ管理の基礎として、保護されるべき対象となる情報資産を明確にした上で、その資産に対する脅威、脅威に対する脆弱性を点検していきます。
これらは、
リスク=
保護されるべき情報資産(そもそも守るべきものがなければセキュリティを議論する必要はない)
+脅威(各資産ごとにどういった脅威があるのかを明らかにする)
+脆弱性(それぞれの脅威からどれだけ守られないことが顕在化しているか)
という関係にあります。
情報資産から考える理由としては、情報資産ごとに脅威が異なることが挙げられます。
情報資産を網羅的に把握するために利用されるのが、情報資産リストあるいは情報資産管理台帳と呼ばれるものです。
情報資産リストの作成方法については、また別のページで紹介します。今回は、「脅威」に焦点を当てて、詳しく紹介していきます。
脅威の全体像
脅威とは、「保護されるべき対象の情報資産に対する、破壊・攻撃を行うもの」です。
脅威は、大きく3つに分かれます。1つ目は「物理的脅威」で、2つ目は「技術的脅威」で、3つ目は「人的脅威」です
- 物理的脅威
- 技術的脅威
- 人的脅威
物理的脅威は、火災、地震、機器の破壊など、直接的に情報資産が破壊される脅威を指します。
人的脅威は、ヒューマンエラーによるデータ、機器の損失・破壊、内部犯による情報漏洩など、人が原因となって生じる脅威を指します。
物理的脅威とは?
物理的脅威は、直接的に情報資産が破壊されることを意味しますが、さらに3つのタイプに分けられます。
1つ目が「天災」に関わるものです。
火災、地震、落雷、洪水、酷暑などが挙げられます。紙媒体、電子媒体どちらの保存であっても、直接的に焼失、浸水することによりデータ、システムが破壊されてしまうことはあります。
2つ目が「人による直接的な情報資産の破壊」です。
社内人員であれば、重要な資料のバックアップを取らずに誤ってシュレッダーにかけてしまった、持ち出した資料を紛失してしまったなどが考えられます。また空き巣に入られ物理的な破壊を受けたために、情報資産を紛失してしまうことも挙げられます。
3つ目が「機器の故障」です。
これは、1つ目、2つ目の情報資産の外部からの攻撃ではなく、情報資産そのものを動かすPC、システムの故障によるものです。
技術的脅威とは?
技術的脅威は、ソフトウェア、コンピュータ上で生じる、論理的に情報が漏洩したり破壊される脅威です。
具体的には、ソフトウェアのバグ、コンピュータウイルス、不正アクセスなどがあります。
物理的脅威に比べると、経路やプロセスを直接見ることができないため、検知や対策がしづらいという特徴があります。
技術的脅威は、4つのタイプに分けられます。
1つ目が「不正アクセス」です。
不正アクセスとは、本来アクセス権限を持たない者が、サーバやシステムの内部へ侵入することです。
これにより、サーバやシステムが停止することや情報漏洩が生じることもあります。
2つ目が「盗聴」です。
これは、ネットワークでやりとりされているデータや、ネットワーク上に接続されているコンピュータのデータを不正に盗み取ることを意味します。
3つ目が「マルウェア」です。
マルウェアは、「malicious software(悪意があるソフトウェア)」の略語になり、不具合を起こす意図で作られているソフトやプログラムのことです。
4つ目が「ソフトウェアのバグ」です。
バグとは、プログラム上に存在する不具合を意味します。
これがプログラムの故障を引き起こす原因となります。
人的脅威とは?
人的脅威は、ミスによるデータ、機器の破壊や、内部犯による確信的な犯行によって情報資産が漏洩したり失われたりする脅威です。
これまでの統計からは、セキュリティ侵害が行われる最も大きな原因の一つが人的なミスだと言われています。
人的脅威は3つのタイプに分けられます。
1つ目が「ミス」と呼ばれるものです。
いわゆるヒューマン・エラーと呼ばれるものです。誤って間違った宛先に送信すること、データを消去してしまうことなどがあります。
2つ目が「内部犯」によるものです。
意図的に内部にいる者によって、データの漏洩が行われたり、ウイルスを流されてしまうことなどがあります。
3つ目が「サボタージュ」によるものです。
1つ目のミスは、本人に意図はなく誤って行ってしまったものがありますが、サボタージュはやるべき業務を怠ったがために起きてしまう人的脅威です。
これらの人的脅威に対しては、社内の規則を設計すること、セキュリティ上の教育を行うこと、罰則規定を設けること、システム上の工夫を行いアクセスできないようにすることなどの対策が考えられます。詳細については、別の記事で紹介します。
まとめ
そもそも、セキュリティ上のリスクは、保護されるべき情報資産にどれだけの脅威があり、その脅威からどれだけ守られていないことが顕在化しているかによって定義されます。
今回は、脅威について紹介をしました。
脅威の全体像は、物理的脅威、技術的脅威、人的脅威に大別され、それぞれの脅威についての説明もしました。
どういった脅威があるかを知ることによって、自社のセキュリティの状況を考える一助になれば幸いです。