情報セキュリティの機密性を損なうリスクにはどのようなものがある?
情報セキュリティの3大要素の一つである機密性。機密性は「情報にアクセスしてはいけない人がアクセスできないようにする状態」のことを指しますが、この機密性が損なわれる要因にはどのようなものがあるのでしょうか?
今回は、機密性を損なう可能性がある脅威について解説していきたいと思います。
機密性を損なう脅威
機密性といえば、情報セキュリティの3大要素である可用性、完全性 、機密性の中で最も「情報セキュリティ感」が強いものかもしれませんね。それだけに、機密性が損なわれるリスクというのはたくさんあります。
今回紹介するもの以外にも、組織の状況や組織が取り扱う情報の種類によってはリスクがあるかもしれませんので、あくまで参考程度にご覧ください。
マルウェア
情報セキュリティの最大の敵といえるかもしれないマルウェアは機密性だけでなく可用性や完全性を損なわせるリスクでもあります。マルウェアには様々な種類があり、その種類によってどのような対策が必要かは様々です。
あるファイルやプログラムに寄生しコンピューターに入り込み、自己複製を繰り返したり、コンピューターの一部機能をロックしたりすることでコンピューターに様々な問題を発生させるプログラムのことを指します。例えば2020年に爆発的に拡大したEmotetもコンピューターウイルスの一種です。
コンピューターウイルスの中には、一見無害あるいは有益なプログラムに偽装したトロイの木馬と呼ばれるものや、ワームと呼ばれるものもあります。
SQLインジェクション
主にWEBサービスなどを提供している場合、PostgreSQLやMySQLのようなデータベースを用いているケースは多いと思います。このデータベースの索引や上書き、行の追加などを行うためのプログラミング言語をSQLと言いますが、SQLとPHPやPythonといったサーバーサイドの言語の脆弱性を突いた攻撃のことをSQLインジェクション
と言います。
例えばPHPの場合はURLのクエリストリングによってインプットされたデータを元にSQL文を組み立てることは一般的です。こういった「SQLの組み立ての仕組み」に脆弱性があると、故意にプログラム作成者が想定できなかったサブクエリなどを実行することが可能になってしまいます。――そうすると、本来表示されるべきではない情報が盗み出されてしまうのです。
多くのプログラミング言語では、プリペアドステートメントという機能が備わっていますので、こういった機能を活用してSQLインジェクションによる攻撃を妨害する必要があります。
ソフトウェアやOSの脆弱性
ソフトウェアやOSの脆弱性とは、「攻撃が可能なセキュリティホール」のようなものです。OSやソフトウェアは有償のものであっても完全無欠に全く脆弱性を持たないものというのは珍しいです。常に悪意ある攻撃者がセキュリティホールを見つけ出し、攻撃しようと目論んでいるからです。
プログラムはイタチごっこのようにアップデートしていかなくてはならないのです。常にOSやソフトウェアは最新の状態に保ち、脆弱性情報についてもすぐにキャッチして対策できるような仕組みを構築しておくことが望ましいでしょう。
フィッシングサイト
フィッシングサイトとは、あるサイトを装った偽物のサイトのようなものです。例えばAmazonのサイトを装い、ログイン情報を入力させてユーザーからログイン情報を詐取しようとするものがフィッシングサイトと呼ばれるものです。
GoogleやYahoo!といった検索エンジンからフィッシングサイトに到達することはそうそうありませんが、サイトにアクセスする方法は様々です。例えばEメールからフィッシングサイトに誘導するようなこともできるのです。
重要な情報を入力する際には、「本当にURLが信頼できるものか」ということを確認するようにしましょう。
通信のなりすまし
Wi-Fiやローカルネットワークの開放の仕方によっては、社内ネットワークへの外部からの侵入口を作ってしまうことになるかもしれません。そうでなくてもパブリックなWi-Fiに接続することで、通信のなりすましや通信の傍受がされてしまうこともあります。
VPN やSSLの技術を用い、社用のデバイスが許可されていないWi-Fiに接続できないような仕組みを構築しておくことである程度は防ぐことができるかもしれません。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい