サイバーセキュリティの脅威モデル

新しいテクノロジが雨後の筍のように次から次へと誕生する昨今、サイバー犯罪も新しい手口が常に誕生しています。

もはや何をやっても100%防御することは絶対に不可能ですね。

SNSのAccountには多要素認証を掛ける等、最低限個人できることをやり続けるしかありません。

サイバー犯罪の手口も人が編み出しているものなので、何らかの原則や狙いがあるはずです。

個々の事象を抽象化して背景にある原則や狙いを整理してみます。

1つ目はなりすまし(Spooofing)です。不正にPasswordを盗んで他人のAccountでSNS等のサービスにログインしてその人になりすまします。

サービスには必ず多要素認証を掛けてPassword以外の要素(Touch ID, Authenticator Appli)で認証させるようにすべきですね。

2つ目は改ざん(Tampering)です。企業の重要なデータを不正に書き換えて使えなくします。

重要なデータは作成時点のハッシュ値を持っておいて、常にそのハッシュ値をチェックするようにすべきです。

3つ目は否認(Repudiation)です。契約書に書いてあるルールなのに後から"え、そんなの聞いてないよ"としらばっくれることです。

重要なやり取りには必ず相手のデジタル署名を義務付けるようにして後から"聞いてないよぉ”等と言わせないようにします。

4つ目は開示(Information Disclosure)です。企業内でも1部の関係者しか見てはいけない気密情報を不正に取得してそれを外部に公開することです。

機密情報へのアクセス可否はアクセスの詳細をチェックして厳密に行うべきです。

5つ目は停止(Denial of Service)です。Ransomwareの被害に会ってしまった企業が犯罪者からの金銭要求を拒否した場合、犯罪者はDDoS攻撃を仕掛けて事業を継続できないようにしてきます。

CDNやWAFでDDoSを軽減または回避できる仕組みを整えておくべきです。

6つ目は掌握(Elevation of Privilege)です。犯罪者は企業のIdentityシステムに不正侵入して管理者権限(例/WindowsのAdministrator)を掌握します。

管理者権限を掌握されてしまったらアウトです。一般ユーザから管理者ユーザに昇格するプロセスは厳しくすべきですね。

個別の事象そのものだけを見ていても、いつまでたっても新しい事象が出てきてそれらを勉強するだけで精一杯になってしまうかと。

何事も帰納思考で抽象化すると共通の原理や考えが見えてきますよね。

それらを理解してから演繹思考で個々の事象の詳細を勉強すれば早いかと。