投稿者: 脅威とは?
効果の見えにくい IT 投資のなかでも投資効果を測定しにくいセキュリティ施策。セキュリティ施策はコストセンターであり、限られた予算枠の中でバランスポイントを見つけることが肝要であることは前回述べました。また、投資効果を最大化するために昨今では ROI が着目されています。特定のセキュリティアプリケーションの中にはダッシュボードで ROI が算出~表示されているものも出てきました。
限られた予算枠の中での投資ですので、当然「自社が保有する情報の中で保護されるべき対象」を洗い出しする必要があります。それは顧客情報かもしれませんし、競合他社の分析情報かもしれません。もしかしたら、販売ノウハウかもしれませんし、販売商材そのものかもしれません。これらを情報資産と呼びます。情報資産が洗い出されれば、それを脅かすもの――いわゆる脅威が何であるかを明確にすることができます。脅威は情報資産により異なります。紙ならば火災が大きな脅威になるでしょうし、USBメモリならば紛失や盗難が脅威となるでしょう。情報資産ごとに脅威が異なるので、脅威を正確に把握するには情報資産を完全に洗い出しする必要があります。
例えば、江戸時代から代々伝わる戸籍謄本が企業の情報資産だとして、これを管理するケースを考えてみましょう。お江戸の時代から残存しているものなのですから、ここでは、この情報資産は和紙に墨で書かれたものであると仮定しましょう。この場合に考えられる脅威は火災や盗難、経年劣化や雑な取扱いでの破損による欠落などが考えられますね。
ところでこの戸籍謄本、どれだけの価値があるのでしょうか? 調べてみると戸籍の概念が出てきたのは明治以降のようなので、こんなものが存在するとしたらかなり貴重なものと言えそうです。そう複数存在するものでもなさそうですし、歴史的な価値はとても高そうですね。このなかに含まれる情報はきっと当時の個々人の情報ですが1603年~1868年の間のどこかの時点の資料ということで少なくとも150年くらい前の資料になるので現存する方はいらっしゃらないでしょう。よって個人情報という観点では直接影響する人は少なさそうです。すなわち、これを公開されたら困るという人は少ないでしょうから、むしろその歴史的価値から一般に向けて公開されるべきものと言えるのではないでしょうか。
これをセキュリティの三要素、機密性、完全性、可用性で考えると、一般向けに公開してよい資料なので機密性は低いですが、なにしろ歴史的価値のある代物なので欠落や改ざんがあってはなりません。また、経年劣化により通常の取り扱いもできないでしょうし、複数冊存在するわけでもないのでかなり慎重に扱う必要がありますよね。さて、いずれにしてもこの歴史的文書を脅威から守るためには、どうするのがよいでしょうか? 私なら、スキャン・撮影等により複写してしまい、原本は防犯性、防火性や保存性の高い保管庫に厳重に保管、などとすると思います。あるいは、どこかの研究施設や資料館等に貸し出すなんてのもいいかもしれません。
このように情報資産を「誰のもちもので」「どこにあって」「機密性、完全性、可用性の観点による価値」等を調査・分類する必要があります。長くなってしまいましたが、このような過程を経て作成された資料を情報資産管理台帳と呼びます。セキュリティ施策の第一歩は情報資産管理台帳の作成からはじまります。
脆弱性と呼ばれるもの
情報資産に対する脅威は、直接的にリスクにはなりません。前述の江戸時代の戸籍謄本で例えると、確かに火には弱いでしょうが、故意にでも火をつけない限り問題は発生しませんよね。また、適切な保管庫に厳重に保管してさえあれば盗難される可能性もないし、複写されたものを取り扱うようにすれば欠落等が発生することは考えにくいです。
例えば盗難という観点で考えると泥棒という脅威は存在するもののどこにでも侵入するわけではありません。彼らが侵入するのは、留守が多い、とかカギがかかっていないとか、身分証明不要で出入りできる場所とかいった一定の条件の場所になります。こう考えると、留守が多くてカギがかかってなく身分証明も不要で出入りできる状態のことを脆弱性と呼びます。盗難というリスクを顕在化させる脆弱性があることで泥棒による侵入という脅威が成立します。すなわちリスクを顕在化させる状態のことを脆弱性と呼ぶのです。
脅威の種類
脅威には大きく分けて3つのパターンが考えられます。物理的脅威、技術的脅威、人的脅威です。詳細は下表にまとめますが、セキュリティ管理者が最も見落としがちな脅威が人的脅威です。人間は必ずミスをする存在なのでミスによって情報資産が破壊されない仕組みの導入などが必要になります。
| 種類 | 物理的脅威 | 技術的脅威 | 人的脅威 |
| 説明 | 火災や地震、侵入者による機器の破壊など、直接的に情報資産が破壊される脅威。 | ソフトウェアのバグや、コンピューターウイルス、不正アクセスなど、論理的に情報が漏えいしたり破壊されたりする脅威。 | ミスによるデータ、機械の破壊や、内部版による革新的な犯行によって情報資産が漏えいしたり失われたりする脅威。 |
| 特徴 | 目に見える脅威のため対策しやすい。 | 経路やプロセスが不可視であるため、検知や対策がしにくい。 | 人的ミスは、セキュリティ侵害が行われる最も大きな原因のひとつ。 |
| #1 | 火災 防火壁、クリアデスク、サーバールームへの可燃物の持ち込み禁止、スプリンクラー、消火器の設置 | 不正アクセス 認証の設定、ログの監査 | 内部犯行 セキュリティリテラシーの向上、継続教育によるセキュリティ意識の醸成、権限分離とアクセス管理 |
| #2 | 地震 バックアップサイトの設置、免震構造社屋、データの遠隔地保存、コンティンジェンシープラン(危機管理計画)の策定 | 盗聴 データの暗号化 | 人的ミス 業務手順の明確化・明文化、システムへのフールプルーフ機構の導入、チェック機能の充実、人間工学デザイン |
| #3 | 落雷・停電 予備電源の確保、避雷針の設置、UPS・CVCFの設置、自家発電装置の導入 | コンピューターウイルス 入手経路不明ファイルの取り扱い規定、ウイルスチェックソフトの導入、パターンファイルの更新 | サボタージュ 教育によるセキュリティ意義の醸成、罰則規定、経営層による訓示 |
| #4 | 侵入者による物理的な破壊・盗難 警備員の設置、入退室管理、モバイル機器・書類の施錠管理、情報機器のある部屋の外壁窓の破壊防止 | ソフトウェアのバグ ソフトウェア設計規定、テスト既定の策定、ソフトウェアライフサイクル管理、検収の規定、品質管理基準の導入 | – |
| #5 | 過失による機器、データの破壊 バックアップの取得、フールプルーフ設計、一般事務室とサーバールームの分離 | – | – |
| #6 | 機器の故障 機器の二重化、予防保守の実施、ライフサイクル管理 | – | – |
攻撃者の目的、動機について
攻撃者には以下のような種類があります。それぞれに動機がありますが、目的は知的好奇心、金銭、自己顕示欲を示したい、抗議をしたい、諜報活動の一環など様々です。特に諜報目的の場合、高度で組織的な攻撃手法が特徴的です。また、徹底した標的型攻撃が行われています。米国防総省ではサイバー空間を陸・海・空・宇宙と同等の第5の戦場と定義しています。
| 攻撃者の種類 | 動機 | 備考 |
| ハッカー | システムの詳細な仕様を知りたい、企業活動の秘匿されている部分を知りたいなどの知識欲。 | 知的好奇心の発露として容認されていた時代もあった。有用な目的のために活動するハッカーをホワイトハッカーとも呼ぶ。対義語はクラッカー。 |
| クラッカー | 業務妨害やテロの手段として情報システムへの攻撃を行い、物理的な破壊工作よりも大きな被害を被らせたい。 | 上述の通り高スキル。 |
| ハクティビスト | 政治的な意図をもった攻撃活動。企業に抗議、報復を行う。 | 社会に浸透し重要性を増している IT は国家や企業の生命線といえる。 |
| スクリプトキディ | いたずら目的や愉快犯など。 | 高度なクラッカーが作成した攻撃用ツールを用いるが、スキルそのものは低い。 |
| 内部犯行 | 情報を盗み出して金銭に変えたい、など。 | すべての攻撃者の中で、唯一正当なシステム権限を用いて情報資産を盗用したり流用したりできる。全ての攻撃者の中で比較的簡単に価値の高い情報にアクセスできる権限を持っているので、アメリカの企業では社員の経済状態をチェックするような事例も。 |
脆弱性の種類
脆弱性とはリスクを顕在化させるものです。すなわち、脅威に対する対策ができていない状態を指します。よって、脅威同様に、物理的脆弱性、技術的脆弱性、人的脆弱性が存在します。
| 種類 | 物理的脆弱性 | 技術的脆弱性 | 人的脆弱性 |
| 説明 | 物理的な施策でコントロールが可能な弱点。 | システム設定やアップデートによってコントロールが可能な弱点。 | 人(多くは内部の社員)が介在する弱点。 |
| 例 | 社屋やコンピューターシステムが耐震構造になっていなかったり、マシンルームに可燃物が放置されていたり、社屋への進入路が開かれているなど。 | ソフトウェア製品のセキュリティホール、コンピューターシステムへのウイルスの混入、アクセスコントロールの未実施など。 | 内部犯行による情報資源の持ち出しや、オペレーターの過失によるデータの喪失・ご入力など。 |
| 特徴 | コントロールすべき対象物が目に見えるためわかりやすい。 | ネットワークの常時接続化によって、技術的脆弱性をコントロールすることの重要性が増している。 | 人材の流動化、システムの複雑化・分散化、情報の可搬性の拡大多くの要因が関連してコントロールが難しいとされる。 |
| #1 | 耐震・耐火構造の不備 火災による加熱や、地震による衝撃での破壊。可燃物の設置などの制限不足。万一の火災の際に機器へのダメージを最小化する設備の不足。 | アクセスコントロールの不備 パスワードによる制御の不備など。 不正アクセス禁止法の施行により、クラッカーなどの外部犯行については法的な罰則根拠が発生したものの、アクセスコントロールが実施されているシステムに限られる点に注意。 | 組織管理の不備 情報資産に大きな価値があるにもかかわらず適切に管理されていない、など。 正当なシステム権限で情報資産にアクセスできるために発覚しにくく、被害大きくなる傾向がある。 |
| #2 | ファシリティチェックの不備 入館管理や、入退室管理の不備・不足。 | コンピューターウイルス対策の不備 外界とのアクセス経路が存在するシステムでのウイルス対策の未実施、ウイルス対策ソフトのパターンファイル更新不備など。 | 過失 フールプルーフがないことによるデータ破壊や喪失など。また、システム管理部門とユーザー部門の権限の分離ができていない、管掌事項に正式な依頼がない、互いの職分を犯すなど。 |
| #3 | 機器故障対策の不備 機器が二重化されていない、ライフサイクル管理がされていない、など。 | セキュリティホール ベンダの公開情報のチェック不備によるゼロデイ攻撃、クラッカーにより攻撃に利用されているマクロ機能など。 | |
| #4 | 紛失対策の不備 モバイル機器携行時の網棚忘れ、端末認証の不足や、保存データの暗号化不備など。 | テストの不備 本格導入前のテスト項目の不備によるセキュリティホールやバグの見過ごしなど。 |