基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,情報セキュリティについてシンプルにまとめています。はじめに,情報セキュリティの定義(機密性,完全性,可用性,真正性,責任追跡性,否認防止,信頼性)について説明し,次に,ISMS(情報セキュリティマネジメントシステム)の概要と,情報資産,インシデント,脅威,脆弱性,リスク,不正のメカニズムについて説明しています。また,攻撃者の種類,攻撃の動機,マルウェア,攻撃の手法についても、簡単に説明しています。覚えることがたくさんあると思いますが,しっかり頑張りましょう。
- 情報セキュリティ
- 情報セキュリティの定義
- 情報セキュリティマネジメントシステム(ISMS;Information Security Management Sysytem)
- 不正のメカニズム
- 攻撃者の種類
- 攻撃の動機
- マルウェア(不正プログラム)
- 攻撃の手法
- ルートキット(rootkit)
- ゼロデイ攻撃
- pingスイープ
- ポートスキャン
- ソーシャルエンジニアリング
- フィッシング
- パスワードクラック
- バックドア
- バッファオーバーフロー攻撃
- DoS攻撃(Denial of Service Attack;サービス妨害攻撃)
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ(CSRF)
- クリックジャッキング
- ディレクトリトラバーサル
- ドライブバイダウンロード
- インジェクション攻撃
- セッションハイジャック
- 中間者攻撃(Man-in-the-middle Attack;MITM攻撃)
- 第三者中継(オープンリレー)
- IPスプーフィング
- DNSキャッシュポイズニング攻撃
- リプレイアタック(再使用攻撃)
- 標的型攻撃
- サイドチャネル攻撃
- まとめ
情報セキュリティ
情報セキュリティとは,情報資産(情報や,情報システムなど)を危険なものから保護し,安全な状態にしておくこと,また,その仕組みをいいます。
情報セキュリティの定義
ISO/IEC 27001では,情報セキュリティは「情報の機密性,完全性及び可用性を維持すること。さらに,真正性,責任追跡性,否認防止及び信頼性などの特性を維持することを含めてもよい」と定義されています。
※ ISO/IEC 27001…ISMS(Information Security Management System;情報セキュリティマネジメントシステム)の国際規格
情報セキュリティの3大要素(CIA)
機密性(Confidentiality)
機密性とは,守るべき情報資産に対して,許可された者が許可された範囲内でアクセスできる状態のことをいいます。機密性を確保・維持するためには,アクセス権限を設定し,権限者に対しては,「読込み,書込み,実行」などの操作範囲を設定し,情報漏洩や不正アクセスが発生しないようにします。
※ アクセス制御や,暗号,認証などの技術を利用する
完全性(Integrity)
完全性とは,情報や(情報を扱う)処理が,正確であり完全であることをいいます。完全性を確保・維持するためには,情報や処理方法を間違わないようにしたり,データをチェックしたり,改ざんを防止したり発見したりする必要があります。
※ ハッシュ関数や,ディジタル署名を利用する
可用性(Availability)
可用性とは,アクセス権限のある利用者が,認可された範囲内で,いつでも確実に,情報にアクセスできる状態のことをいいます。可用性を確保・維持するためには,(システムを冗長化するなど)システムの信頼性を高めたり,システムの監視や保守を行うなどして,システムに障害が発生しないようにします。
※ 機密性,完全性,可用性は,情報セキュリティの3大要素であり,それぞれの頭文字をとって,情報セキュリティのCIAとも呼ばれる
情報セキュリティの付加的特性
真正性(Authenticity)
真正性とは,利用者や情報などの(身元の)正当性が,確実に確認できることをいいます。利用者の場合,なりすましを防止するために,本人確認などを行います。
※ パスワードや,ディジタル署名などを利用する
責任追跡性(Accountability)
責任追跡性とは,利用者の操作やシステムの動作が,何に対して,何を,いつ行ったのか(アクセスしたのか),といった行為を,事後追跡できることをいいます。利用者の入退室を管理したり,システム操作に関するログを取得したりします。
否認防止(Non-Repudiation)
否認防止とは,(電子商取引や電子メールなどの)利用者が,取引や送受信などの事実を,後になって否定するのを防止することをいいます。
※ ディジタル署名にタイムスタンプを付加すればよい
信頼性(Reliability)
信頼性とは,処理や操作が正常に行われ,実行結果に矛盾が生じたり,異常な結果にならない状態のことをいいます。故障しにくい機器を利用したり,定期的に保守を行ったり,ソフトウェアの場合は,バグを排除したりします。
情報セキュリティマネジメントシステム(ISMS;Information Security Management Sysytem)
情報セキュリティマネジメントシステムとは,組織の情報セキュリティの確保に取り組み,維持・改善するしくみをいいます。
情報資産
情報資産とは,顧客情報などの情報や,情報システムを構成するハードウェアやソフトウェア,関連する施設や設備などのことをいい,情報セキュリティの保護対象になります。
情報セキュリティインシデント
情報セキュリティインシデントとは,情報セキュリティを脅かす事件や事故のことをいいます。
※ インシデント…事件や事故のこと
情報セキュリティ事象
情報セキュリティ事象とは,(事件や事故にはなっていないが,)情報セキュリティに影響を与える可能性のある状況のことをいいます。
脅威
JIS Q 13335-1:2006では,脅威は「システム又は組織に損害を与える可能性があるインシデントの潜在的な原因」と定義されています。
脆弱性
JIS Q 13335-1:2006では,脆弱性は「一つ以上の脅威がつけ込むことができる,資産又は資産グループが持つ弱点」と定義されています。情報資産の弱点を放置すると脅威に晒されることになるため,対応が必要です。
リスク
JIS Q 31000:2019では,リスクは「目的に対する不確かさの影響」と定義されています。ある脅威が,情報資産の脆弱性を突いて損害を与える可能性ということです。
情報セキュリティマネジメントシステムや,情報資産,情報セキュリティインシデント,情報セキュリティ事象,脅威,脆弱性,リスクについては,「情報セキュリティ管理 -情報処理シンプルまとめ」を参照してください。
不正のメカニズム
不正のトライアングル理論とは,次の3つの不正リスクが揃ったときに不正行為が発生するとした理論です。
※ 米国の犯罪学者D.R.クレッシーが提唱した
- 機会
- いつでも不正行為を実行できる環境にあること
例)1人の管理者に権限が集中しチェックが働かない場合など
- 動機
- 不正行為をするしかないと考えてしまう事情のこと
例)機密情報を売却して自分の借金を減らそうと考えることなど
- 正当化
- 不正行為を行うための自分勝手な理由のこと
例)会社が違法なことをしているので,自分もしてもよいと思うことなど
状況的犯罪予防論
状況的犯罪予防論とは,不正のトランアングルを考慮した犯罪の予防論です。
- 物理的にやりにくい状況を作る
- やると見つかる状況を作る
- やっても割に合わない状況を作る
- その気にさせない状況を作る
- 言い訳を許さない状況を作る
攻撃者の種類
ハッカー
ハッカーとは,本来,コンピューターやネットワークなどについての深い知識と高い技術を持った人のことをいいます。
クラッカー
クラッカーとは,コンピューターやネットワークなどについての知識と技術を悪用して攻撃する人のことをいいます。
ホワイトハットハッカー
ホワイトハットハッカーとは,コンピューターやネットワークなどについての知識と技術を善意に利用する人のことをいいます。
スクリプトキディ
スクリプトキディとは,インターネットで公開されている悪意のあるスクリプトなどを利用して攻撃する(技術力の低い)人のことをいいます。
※ キディ…子ども
ボットハーダー
ボットハーダーとは,ボットネットでボットを使用して攻撃する人のことをいいます。
※ ボット…ロボットの略称。人間の代わりに作業を実行するプログラムのこと
※ ボットネット…多数のボットで構成されるネットワークのこと
内部関係者
内部関係者とは,企業の従業員や,委託先の社員など,情報システムにアクセスできる権限を不正に使用して,情報を流出させたり,改ざんしたりする人のことをいいます。
詐欺犯
詐欺犯とは,偽のWebサイトなどで個人情報を詐取するような詐欺をする人のことをいいます。
愉快犯
愉快犯とは,人を恐怖に陥れて喜ぶことを目的に攻撃する人のことをいいます。
攻撃の動機
攻撃者が攻撃を行う場合,たいていは何らかの動機があると考えられます。
金銭奪取
個人情報や,クレジットカード番号などを不正に入手して金銭を奪うことが目的で,内部関係者の犯行が多いといわれています。
サイバーテロリズム
サイバーテロリズムとは,ネットワークを対象としたテロリズムのことをいいます。(政治的な意図で)社会に深刻な打撃を与えることが目的です。
自己顕示欲
自身の技術力を誇示することが目的で,自身が開発したプログラムを使用して攻撃したり,有名な企業のWebページを改ざんしたりして,話題性を高めようとします。
知的好奇心
興味にひかれたとか,機密情報にアクセスしてみたいなど,知的好奇心を満たすことが目的です。
マルウェア(不正プログラム)
マルウェアとは,悪意のある不正なプログラムのことをいいます。
コンピューターウイルス
コンピューターウイルスは,コンピューターウイルス対策基準では,「第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり,次の機能を一つ以上有するもの」と定義されています。
| 自己伝染機能 | コンピューターウイルス自身を他のコンピューターやプログラムファイルにコピーし伝染する機能 |
| 潜伏機能 | コンピューターウイルスに感染したことを利用者に気づかれないように存在を隠す機能(一定の条件を満たした場合に発病する) |
| 発病機能 | プログラムやデータなどを破壊し,コンピューターに異常な動作をさせる機能 |
暴露ウイルス
暴露ウイルスとは,感染した場合に,コンピューターに保存されている情報をネットワーク経由で外部に流出させるコンピューターウイルスをいいます。
マクロウイルス
マクロウイルスとは,表計算ソフトなどで作成したファイルに埋め込むことのできるマクロを悪用したコンピューターウイルスをいいます。
ワーム
ワームは,宿主となるプログラムやデータに感染するのではなく,単独で存在する悪意のあるプログラムです。自身のコピーを単独で行うことができ,次々に他のコンピューターに感染していきます。
トロイの木馬
トロイの木馬は,悪意のないプログラムと見せかけて実行を促し,(利用者などが実行すると)情報の漏洩や遠隔操作などの不正な動作をするソフトウェアです。自己伝染機能はありません。
スパイウェア
スパイウェアは,利用者の操作の監視・記録や利用者自身の情報を外部(スパイウェアの開発元など)に送信する悪意のあるソフトウェアです。
キーロガー
キーロガーは,コンピューターのキーボードの操作を監視・記録するソフトウェアです。利用者の入力情報を盗むために使用されます。
ランサムウェア(身代金型ウイルス)
ランサムウェアは,コンピューターを正常に利用できない状態(操作画面をロックしたり,重要なファイルを暗号化したりする)にして,それを(元の)正常に利用できる状態にするために身代金を要求する悪意のあるソフトウェアです。
攻撃の手法
ルートキット(rootkit)
ルートキットとは,攻撃のために用いるツールを集めたパッケージをいいます。
ゼロデイ攻撃
ゼロデイ攻撃とは,脆弱性を解消するセキュリティパッチなどの修正プログラムが提供される前に行われる攻撃をいいます。
pingスイープ
pingスイープとは,有効なIPアドレスを検出するために行う行為をいいます。pingコマンドでIPアドレスを順に1つずつ指定し,応答があった場合,そのIPアドレスは有効でホストが存在するということが分かります。攻撃前の調査段階で,ネットワークの構成や攻撃の対象を探るために行います。
※ ホスト…コンピューターネットワークに接続されたIPアドレスを持つコンピューターのこと
ポートスキャン
ポートスキャンとは,ホストに対して,開いているポートを順に1つずつ調べ,攻撃に使えそうな脆弱なポートがないかを調べる行為をいいます。ポートスキャンが行われると,通常は,ログに,その記録が残ります。
※ ポート番号…通信をするアプリケーションを識別するために使用する。インターネットで,よく使われるアプリケーションには決められたポート番号が割り当てられる(ウェルノウンポート番号)
※ ウェルノウンポート番号については,「 」参照
※ ホスト…コンピューターネットワークに接続されたIPアドレスを持つコンピューターのこと
ステルススキャン
ステルススキャンとは,ログを残さないポートスキャンをいいます。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは,システムの利用者や管理者から,社会的な手段(盗み聞きや盗み見など)により,パスワードや機密情報などを聞き出す行為をいいます。
ショルダーハッキング
ショルダーハッキングとは,利用者の操作の様子を(肩越しに)見て,パスワードや機密情報などを盗み出す行為をいいます。
トラッシング(スキャベンジング)
スキャベンジングとは,(ごみ箱などをあさって)パスワードが書いてある紙や,重要書類などを見つける行為をいいます。
ピギーバック
ピギーバックとは,入退室をする人の後ろについて認証をする抜ける行為をいいます。
フィッシング
フィッシングとは,信頼できる機関からのメールやWebサイトを装い,口座番号やクレジットカード番号,暗証番号などを詐取する行為をいいます。
パスワードクラック
パスワードクラックとは,本人確認に用いるパスワードを探し出すことをいいます。
ブルートフォース攻撃(総当たり攻撃)
ブルートフォース攻撃とは,(パスワードに使用される可能性のある)あらゆる文字や数字,記号などの組み合わせを試して,パスワードを探し出す攻撃をいいます。
辞書攻撃
辞書攻撃とは,あらかじめ準備しておいた辞書ファイルに記載されている文字列を順に試しながらパスワードを探し出す攻撃をいいます。
パスワードリスト攻撃
パスワードリスト攻撃とは,別のサービスから流出したアカウント名(ID)とパスワードのリストを使用して,パスワードを探し出す攻撃をいいます。
バックドア
バックドアとは,システムの利用者や管理者に気づかれないように仕掛けられた,認証が不要な裏口のことをいいます。マルウェアなどで仕掛けます。
バッファオーバーフロー攻撃
バッファオーバーフロー攻撃とは,バッファ(事前に確保しておいたメモリ領域)に,そのサイズを超えるデータを送り込み,バッファの後ろの領域を改ざん(破壊)する攻撃をいいます。
DoS攻撃(Denial of Service Attack;サービス妨害攻撃)
DoS攻撃とは,サーバーやネットワークに大量のデータを送るなどしてサービスを妨害する攻撃をいいます。
SYN Flood攻撃
SYN Flood攻撃とは,送信元を偽装したSYN(TCPのコネクション確立要求)パケットを,サーバーに大量に送り付け,サーバーから戻ってきたSYN/ACK(確認応答)パケットに対しては,何もせず(応答せず),ハーフコネクション状態(接続途中で放置した状態)を大量に発生させることによりリソースを枯渇させ,サービス(正規の接続要求)を妨害する攻撃をいいます。
※ 3ウェイハンドシェイク(TCPで接続を確立する手順)のしくみを悪用した攻撃である
Smurf攻撃
Smurf攻撃とは,送信元を攻撃対象のサーバーに偽装したICMPエコー要求パケットをネットワーク内にブロードキャストし,ICMPエコー応答パケットを攻撃対象のサーバーに大量に返信させることによりネットワークに負荷をかけ,サービスを妨害する攻撃をいいます。
※ Smurfというプログラムを使用して攻撃する
※ ブロードキャストとは,同じネットワーク内のすべてのノードに対して行う通信のことをいう
メール爆弾
メール爆弾とは,攻撃対象のメールアドレスに対して短時間に大量のメールを送信することにより,メールボックス(メールサーバーの一時保存領域)の制限容量を使い切って他のメールを受信できなくしたりする攻撃をいいます。
DDoS攻撃(Distributed DoS攻撃,分散 DoS攻撃)
DDoS攻撃とは,ネットワーク上の複数のホストから一斉に行うDoS攻撃をいいます。
※ ホスト…コンピューターネットワークに接続されたIPアドレスを持つコンピューターのこと
クロスサイトスクリプティング
クロスサイトスクリプティングを利用した攻撃とは,悪意のあるスクリプトが埋め込まれた脆弱なWebサイトにアクセスした利用者(クライアント)のクッキー情報などを盗む攻撃をいいます。攻撃者は,脆弱なWebサイトへのリンクを用意し,そのリンクを利用者がクリックした際に,悪意のあるスクリプトが脆弱なWebサイトに埋め込まれます。
※ クッキー…WebサーバーがWebブラウザを識別するために,利用者(クライアント)のコンピューターに一時的にデータを記録するしくみをいう
クロスサイトリクエストフォージェリ(CSRF)
クロスサイトリクエストフォージェリを利用した攻撃とは,攻撃者が,特定のサイト(ネットショップなど)への(買い物を強制するなどの)リクエストを発生させるURLを用意し,これを,Webサイトやメール本文に(虚偽の内容で)記載し,そのURLを利用者が開いた際に,攻撃者が用意した(買い物を強制するなどの)リクエストを発生させられ,被害に遭う(意図しない買い物をさせられるなど)攻撃をいいます。
クリックジャッキング
クリックジャッキングとは,攻撃用のWebサイトの上に透明にした他のWebサイトを重ねて表示し,利用者が(攻撃用のWebサイトの内容を見ながら)特定の箇所をクリックすると,透明にした他のWebサイトをクリックしたことになり,結果的に,意図しない操作をさせられる攻撃をいいます。
ディレクトリトラバーサル
ディレクトリトラバーサルとは,Webサイトのパス名(Webサーバー内のディレクトリーやファイル名)に,本来はアクセスが禁止されているファイルを指定して,不正にアクセスする方法をいいます。
ドライブバイダウンロード
ドライブバイダウンロードとは,マルウェアが隠されたWebサイトを,利用者が閲覧した際に,利用者に気づかれないように,マルウェアを自動的にダウンロードさせる攻撃をいいます。
インジェクション攻撃
インジェクション攻撃とは,入力フォームなどから文字列の入力を受け付けるプログラムに対して不正な文字列を入力し,データを改ざんしたりする攻撃をいいます。
SQLインジェクション
SQLインジェクションとは,Webアプリケーションの入力フォームなどに不正なSQL文を入力して想定外のSQL文を実行させることにより,本来はアクセスが禁止されているデータにアクセスしたり,改ざんしたりする攻撃をいいます。
OSコマンドインジェクション
OSコマンドインジェクションとは,(WebサイトなどでOSコマンドを実行できる場合に)OSに対して不正なOSコマンドを実行させる攻撃をいいます。
セッションハイジャック
セッションハイジャックとは,他の利用者のセッションIDを不正に入手し,その利用者になりすましてアクセスする攻撃をいいます。
※ セッションID…Webサーバーに同じ利用者がアクセスしていることを確認するための情報
中間者攻撃(Man-in-the-middle Attack;MITM攻撃)
中間者攻撃とは,攻撃者が,クライアントとサーバーの間に割り込み,通信内容の盗聴やデータの改ざんを行う攻撃をいいます。
第三者中継(オープンリレー)
第三者中継とは,特に制限することなく誰でもメールを自由に送信できるように開放している(オープンリレー設定)メールサーバーを,攻撃者が,迷惑メールやコンピューターウイルスを送る中継地点(踏み台)などとして利用することをいいます。
IPスプーフィング
IPスプーフィングとは,送信元IPアドレスを偽装して,別のIPアドレスになりすますことをいいます。
DNSキャッシュポイズニング攻撃
DNSキャッシュポイズニング攻撃とは,(利用者からのドメイン名の問い合わせなどを受け付ける)DNSサーバーのキャッシュに不正な情報を書き込むことで,攻撃者の用意したWebサイトへ誘導したりする攻撃をいいます。
リプレイアタック(再使用攻撃)
リプレイアタックとは,盗んだ認証情報を,そのまま使用して,利用者になりすます攻撃をいいます。
標的型攻撃
標的型攻撃とは,特定の個人や組織を狙った攻撃をいいます。
APT(Advanced Persistent Threats)攻撃
APT攻撃とは,特定の個人や組織を狙い,高度な手法を組み合わせて繰り返し行う攻撃をいいます。
水飲み場型攻撃
水飲み場型攻撃とは,攻撃対象の個人や組織がアクセスするであろうと思われるWebサイトを改ざんし,そのWebサイトに攻撃対象の個人や組織がアクセスした場合に,マルウェアを自動的にダウンロードさせる攻撃をいいます。
※ 水飲み場型攻撃は,ドライブバイダウンロードを標的型攻撃にしたものである
※ 攻撃対象ではない個人や組織がアクセスした場合には何も起きないため,攻撃が発覚しにくい
サイドチャネル攻撃
サイドチャネル攻撃とは,IT機器(暗号装置など)の動作などを観測・測定することにより,復号キーなどの機密情報を取得したりする攻撃をいいます。
タイミング攻撃
タイミング攻撃とは,IT機器(暗号装置など)の処理時間を計測することにより,暗号の内容を推測したり,機密情報を取得したりする攻撃をいいます。
テンペスト攻撃
テンペスト攻撃とは,建物などから漏れている電磁波を測定して,機密情報を取得したりする攻撃をいいます。
まとめ
今回は,情報セキュリティについて,シンプルにまとめてみました。基本的な内容ではありますが,はじめての人にとっては覚えることが多くて大変だったと思います。
