完全性を損なうリスクにはどのようなものがあるの？

情報セキュリティの三大要件である完全性。完全性とは、「データが常に揃っていて、欠損や不整合がないことを保証する」ことですが、この完全性を脅かすリスクは様々です。今回は、情報セキュリティの完全性を脅かすリスクにはどのようなものがあるのかということについて解説していきたいと思います。

完全性を脅かすリスクとは？

完全性を脅かすリスクとは、要するにデータを欠損させたり、データの不整合を引き起こしたりするようなセキュリティ事象のことを言います。以下では、具体的にどのようなリスクがあるのかということについて解説していきます。

不正アクセス

不正アクセスによって、データを改ざんされたりした場合には完全性は損なわれたりします。不正アクセスの方法は様々ありますが、以下では代表的な手法を挙げていきましょう。

▼アカウントの乗っ取り

管理者しか知らないはずのIDやパスワードを特定されてしまい、アカウントが乗っ取られるケースがあります。IDやパスワードを割り出す手法は情報管理不足によるものだけでなく、技術的な理由から特定されてしまう可能性もあります。

例えばスクレイピング技術を悪用して、IDやパスワードの組み合わせを何度も試行し、特定することも可能ですし、アプリケーションの脆弱性をついてIDやパスワードを特定することも可能です。また、SQLインジェクション によって任意のパスワードに書き換えられる可能性も考慮すべきでしょう。

▼マルウェアによる攻撃

マルウェアを特定のデバイスに侵入させ、IDやパスワードを盗み出そうとするケースもあります。

▼フィッシングサイト

見た目が同じようなサイトを構築して、ユーザーをアクセスさせ、ログイン情報を入力させることでIDやパスワードを盗み出そうとするケースも存在します。

情報改ざん

サイバー攻撃は、外部からの攻撃に対して警戒するあまり内部の情報改ざんがおろそかになってしまうケースもありますが、外部からの攻撃と同じくらいに内部の人間による改ざんや情報破壊に対して警戒する必要があります。

操作ミス

コンピューターの操作ミスやプログラムのミスによって情報の整合性が損なわれるケースもあります。「操作ミスは発生するもの」という前提のもとデータベースの構造を整理したり、データ操作のバリデーションをプログラムしたりしておくことで、完全性が損なわれないように対策しておくことも重要です。

完全性を保持するための対策

プログラムのセキュリティ対策

外部からのアカウント乗っ取りや不正アクセスを防ぐためには、アプリケーションの脆弱性を少なくすることが重要です。大事なことは、脆弱性のない完璧なプログラムを構築することは非常に難しいことであると認識することです。IT企業として有名なFacebookやGoogleでも、日々脆弱性が発見されることがあるくらいです。つまり、どれだけ優秀なエンジニアを抱えていても脆弱性を拭いきれないのです。

まずはできる対策から施していき、セキュリティについては常にチェックすることで何度も検証を重ねるようにしましょう。

検出システムの導入

情報の変更や改ざんがあった場合に、変更ログを取得したりできるように検出システムを導入しておくことも重要です。検出システムがあればトレーサビリティを維持できますし、内部の人間の改ざんの抑止にも繋がります。

バックアップ

完全性が損なわれる原因の多くは、データベースやプログラムの改ざんです。つまり、データベースを常にしておくことで、完全性が損なわれてもそれを復旧することができるようになるわけです。

まとめ

特にITという分野は急速に成長しており、それに伴って次々と新しいマルウェアや攻撃手法が出てきています。このため、情報セキュリティのリスクは、「なくならないもの」と認識して、攻撃にあった時にどのように復旧するのか、被害を最小限に抑えるためにどのようにすれば良いのかという視点で考えることが望ましいでしょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。