情報セキュリティの脅威の定義と種類とは
IT化が進んだ現代では、自宅のパソコンや個人のスマホ、企業の機密情報などの流出する恐れが
一旦情報が漏えいすると瞬く間に世の中に拡散してしまいますから、情報セキュリティは重要な問題ですよね。
ここでは、情報セキュリティとは何か、また、どのような脅威があるのかに関して詳しく説明していきます。
情報セキュリティの定義とは
2005年(平成17年)1月に「ISO/IEC27001」が発行されましたが、
情報セキュリティの定義として、「情報の機密性、完全性および可用性を維持すること。」と記されています。
ここに記されている「機密性」「完全性」「可用性」の3つが、情報セキュリティの3大要素と言われています。
内容は以下の通りです。
・機密性(Confidentiality)…情報へアクセスすることを認められたもの以外の第三者(個人やエンティティ:団体)が、情報や資産にアクセスができない状態を確保すること。
・完全性(Integrity)…情報や資産が破壊や改ざんをされずに、完全な状態を確保すること。
・可用性(Availability)…情報へアクセスすることを認められたものが、いかなる時も情報などにアクセスできる状態を確保すること。
情報セキュリティの脅威(どのような種類があるのか)
「最近(平成26年版)の情報セキュリティに関わる脅威の動向」が、総務省より発表されました。
詳細は以下の通りです。
・標準型メールを用いた情報窃取
・ウェブサービスへの不正ログイン、サービスの不正利用
・ウェブサイトの改ざん
・ウェブサービスからのユーザー情報の漏えい
・インターネットバンキングからの不正送金
・モバイルマルウェア(スマホなどのモバイルデバイスを対象とした悪意あるプログラム)の増加
・ランサムウェア(データを人質に取り、データ回復のために身代金を要求する悪意あるソフトウェア)傾向の増加
・DoS(Denia of Service Attack)攻撃(処理能力以上のデータを送り付けてサービスの提供を妨害する攻撃)等のサービス妨害行為
(参照:http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h26/html/nc143210.html)
また、上記のような意図的人為的脅威だけではなく、
・ファイルの誤削除
・プログラミングミス
・紛失
などの偶発的な人為的脅威や、
・地震
・洪水
・火災
・停電
・落雷
などの環境的な情報セキュリティの脅威もあります。
情報セキュリティの脅威とリスク
リスク、すなわち危険性ですが、情報セキュリティが脅威にさらされると、
実際にはどんなリスクがあるのでしょうか?
・システムがダウンしてサービスが停止してしまう
・データの破損
・会社の機密情報や社員の個人情報・顧客情報などが、外部の第三者に破壊されたり盗まれたり悪用されたり漏れる
・銀行口座からお金が勝手に引き出される
・データやホームページなどが故意に改ざんされる
などがありますが、それらの2次被害として、
・損害賠償の発生
・風評被害
・システムの再購入や再構築
・社会的信用の失墜
があり、本当に大変なのはこの2次被害になります。
このようなリスクを回避するためにも、情報セキュリティの対策には万全を期す必要があります。
リスク回避のポイント
情報セキュリティのポイントは「敵を知ること」です。
・今、どんな脅威があるのか
・どんな行動がNGなのか
・どんな点に気を付けたら良いのか
・こんな状態はおかしい
・どんな対策をすれば良いのか
など、情報セキュリティの脅威は日々進化していきますから、最新の情報を入手することが大事です。
では具体的にはどうすれば良いのでしょうか?
専門家と契約している企業ならともかく、個人では中々情報を得ることも難しいと言えます。
そういった場合は、勉強会やセミナーなどへ参加するのがおすすめです。
セミナーなら講師である情報セキュリティの専門家から最新の情報や専門知識を得ることもできますし、
直接自分の状況を相談することもできるでしょう。
- タグ
