情報セキュリティ管理（セキュリティ）

学習のポイント

情報セキュリティの目的は、守るべき情報である「情報資産」の保護です。これを実現するための指針として「機密性」「完全性」「可用性」があります。また、情報資産を脅かす「3種類の脅威」を理解し、その中で、クラッカーからの各種の攻撃方法の仕組みを理解しましょう。

1.　情報セキュリティの目的

情報セキュリティの目的は、「企業や自治体などが保有する情報資産の保護」です。ここで、情報資産とは、守らなくてはならない情報のことをいいます。

2.　情報セキュリティ3大要素

JIS Q 27002の標準規格では、以下の3つの要素を情報システムを維持する三大目的としています。 ●機密性 許可のないアクセスに対して情報の利用ができないこと。 不正アクセス・なりすまし・盗聴がない ●完全性 情報が正確で常に安全な状態であること。 情報の改ざんがない ●可用性 必要な時に、いつでも情報の利用ができること。

3.　情報セキュリティの脅威

守るべき「情報資産」を脅かすものを「脅威」といいます。脅威は以下の3種類に分かれます。 物理的脅威 サーバやネットワーク機器の破壊・故障などの物理的な被害 ●災害 ●停電 ●機器の故障 ●部外者の侵入による破壊活動 技術的脅威 攻撃者などの攻撃などの目に見えにくい方法での被害 ●不正アクセス 許可されていない利用者が不正な手段で情報資産にアクセスすること。バックドアを設置して侵入行為をするなど。 ●盗聴 通信内容を第三者が盗み見ること。 ●改ざん 不正な方法を使用してデータを改変・破壊すること。 ●なりすまし 第三者が本来の利用者になりきり、詐欺行為などを行うこと。 ●攻撃者からの各種攻撃 ※詳細は後述 ●マルウェア 悪さをするプログラムの総称で、コンピュータウィルスのその一種 人的脅威 故意・過失などの人為的な行動の被害 ●誤操作 ●詐欺行為 ●ソーシャルエンジニアリング 人間の心理や隙をついて情報を不正に入手する行為のこと。キーボード操作を盗み見したり、パスワードを巧みに聞き出すなどの行為。

4.　攻撃の種類

悪意のある攻撃者「クラッカー」の攻撃手法について理解しましょう。 ●DoS攻撃 標的となるネットワークなどを機能不全に陥らせる攻撃で、大量のデータを送りつけて通信容量や処理能力を飽和状態にして応答できないようにする手法と、ソフトウェアの脆弱性などを顕在化させるような不正なデータを送り込み、システムを停止状態にしたり異常終了させてしまう手法がある。 ●DDoS攻撃 複数のネットワークに分散する大量のコンピュータが一斉に特定のネットワークやコンピュータへ接続要求を送出し、通信容量をあふれさせて機能を停止させてしまう攻撃。多くは、マルウェアによって感染したコンピュータが「踏み台」にされて攻撃をする場合が多い。 ●バッファオーバーフロー攻撃 C言語などで、プログラムがバッファの大きさをチェックしない場合に、バッファを超える大きさのデータを入力し、データをあふれさせてプログラムを停止させたり、任意のプログラムを実行する攻撃のこと。 ●SQLインジェクション アプリケーションにおいてリレーショナルデータベースで検索条件・更新内容等に使用する場合に、「任意のSQL文」を実行させて、データベースの搾取や改ざんを行う攻撃のこと。 例えば、ユーザーからの入力は、ユーザー名がkawaseだった場合、パスワードに「' OR 'A'='A」と入力します。 そうするとSQL文は SELECT * FROM 顧客表 WHERE uid='kawase' AND pwd='' OR 'A'='A' となってしまいます。 パスワードが真となり、認証できてしまいます。 ●クロスサイトスクリプティング 攻撃者はターゲットとなる脆弱性のあるWebサイトへのリンクを設置した罠サイトを設け、閲覧者がリンクをクリックするよう仕向けます。その際、リンクのURLのパラメータ部分に「スクリプト（JavaScriptコード）やHTMLタグの断片を埋め込み」、閲覧者が脆弱なサイトを開くとページ内に自動的にそれらの悪質なスクリプトが埋め込まれ、即座に閲覧者のWebブラウザで実行される。 ※上記のように標的となったWebサイトがスクリプトをそのまま認識してしまう脆弱性があるのが一番の問題といえます。 ●セッションハイジャック なりすましの一種でクライアントとサーバの正規セッションに割り込んで、セッションを奪い取る行為をいいます。セッションハイジャックにより行われる行為として以下のようなことが考えられます。 ・正規サーバになりすましてクライアントの機密情報を盗む。 ・正規クライアントになりすまして、サーバに侵入する。 ●DNSキャッシュボイズニング DNSサーバーに一時的にキャッシュしてあるドメイン名とIPアドレスの対応情報を、偽の情報に書き換える攻撃のことです。攻撃対象のDNSサーバーを参照するユーザーを、偽のWebサイトに誘導することなどが可能になり、Webブラウザーには正規のURLが表示されるので、偽サイトにアクセスしていることを見抜くことは困難となります。 ●ディレクトリトラバーサル攻撃 ネットワーク上の脆弱性を利用した攻撃手法の一種で、「../」などの特殊な文字列を送信して、ディレクトリをたどり、本来はアクセスが禁止されているディレクトリにアクセスする手法のこと。 ●フィッシング詐欺 フィッシング詐欺とは、金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを詐取する詐欺のことです。 代表的な手口は、メールの送信者名を金融機関の窓口などのアドレスにしたメールを無差別に送りつけ、本文には個人情報を入力するよう促す案内文とWebページへのリンクが載っている。このリンクをクリックするとその偽物の金融機関のWebサイトへいき、ユーザが暗証番号やパスワード、クレジットカード番号などの個人情報を入力・送信すると、犯人に情報が送信されるようになっています。 ●Webビーコン 非常に小さな「画像」などを用いて、主にネット利用者の動向を調査する技術ことですが、これを悪用することによって利用者の個人情報が漏洩する場合があります。、 ●サラミ法 多くの人から気付かれないほどの少額を詐取する手法のこと。典型的な例としては、銀行の金利計算プログラムの開発者がプログラムに細工を施し、本来は切り捨てられるはずの利子の端数を自分の口座に振り込むよう仕向ける手法がある。

pafuイーランスクール