【ITの教科書】1-2. 情報とセキュリティ - 情報I 情報の特性と問題解決
高校で学ぶ「情報I」に準拠した内容で、ITの基礎を学べる連載講座。今回は、「データ」「情報」など、何となく使いがちな言葉の意味や、情報を整理して問題を解決する手順について解説します。
サイバー犯罪
サイバー犯罪とは
コンピュータ上で行われる犯罪のことをサイバー犯罪と言います。平成 30 年の警察白書によれば、サイバー犯罪は次の3つの類型に区別されています。
不正アクセス禁止法違反
コンピュータ・電磁的記録対象犯罪等
ネットワーク利用犯罪
サイバー犯罪の特徴
ネットワークを利用したサイバー犯罪には、次のような特徴があります。
匿名性が高い
痕跡が残りにくい
不特定多数が被害を受ける
時間と空間の制約がない
特徴① 匿名性が高い
ネットワークだけのやり取りであれば、相手の名前はもちろん、年齢も性別も分かりません。実際に会う機会もないので、相手が誰かになりすましている可能性もあります。悪意を持った相手がネットワークを通じて犯罪を行った場合、その人物を特定することは難しいのです。
特徴② 痕跡が残りにくい
ネットワーク上で活動した痕跡は、システムの使用履歴(ログ)等の電子データのみであり、紙や指紋のような物理的証拠が残りません。犯人によってログが消されたり改ざんされたりした場合は、犯人の特定がさらに困難になります。
特徴③ 不特定多数が被害を受ける
ネットワーク上のサーバなどがサイバー犯罪の目標になると、不特定多数の人が被害を受けます。それが交通・ガス・電気などの生活インフラに関わるものであれば、その影響は甚大です。コンピュータウィルスも、不特定多数の人に被害を及ぼす例です。
特徴④ 時間と空間の制約がない
ネットワークを用いると、地球の裏側にも瞬時にデータを届けることができます。悪意を持った相手にとっては、地球全体が犯罪の対象であり、そこに時間と空間の制約はありません。
情報システムを安心して利用する方法
情報セキュリティの3要素
情報システムを安心して利用するためには、情報の機密性・完全性・可用性を確保することが必要です。これを情報セキュリティの3要素と言います。
機密性:許可された人しか情報にアクセスできない
完全性:第三者が情報を改ざんすることができない
可用性:いつでも情報にアクセスできる
情報システムを運用する際には、導入コストや運用コストとのトレードオフを考慮し、システムごとに3要素の重要性を検討して確保することを考える必要があります。
情報セキュリティのその他の要素
日本の情報セキュリティのルールは、日本規格協会という団体が定めています。2006 年に制定された「JIS Q 13335-1」というルールでは、さらに真正性・責任追跡性・信頼性・否認防止を加えて情報セキュリティの7要素となりました。
真正性:本人であることを認証する
責任追跡性:ログなどからシステムの操作を追跡できる
信頼性:システムの動作に誤りがない
否認防止:一度承認したものを勝手に取り消さない
なお、「JIS Q 13335-1」は2017年に廃止され、現在は「JIS Q 27000」という新しいルールに引き継がれています。
情報セキュリティの確保
情報システムを運用する場合には、必ず情報セキュリティ対策を考えなければなりません。しかし、情報セキュリティ対策をしても企業の利益に直接結びつくことは少なく、大きなコストも必要です。システム開発の現場では、情報セキュリティ対策のコストとサイバー攻撃を受けた場合のリスクを比べて、現実的に必要な対策を検討しています。
パスワードの使い方
セキュリティ対策の基本に、情報システムの認証があります。情報システムの認証は、ユーザーIDとパスワードを使って行うことが一般的です。システムの利用者は、英数字、記号などを組み合わせ、他の人が容易に推測できない複雑なパスワードを使う必要があります。また、パスワードが流出による被害を防ぐため、パスワードの保管や使いまわしには注意する必要があります。
高度な認証方式
サービスによっては、生体認証や二要素認証の導入も進んでいます。
生体認証とは、指紋や顔など、人間の身体的特徴や行動の癖を用いた個人認証技術のことで、パスワードのように盗難やなりすましのリスクが少ないことが特徴です。
二要素認証とは、知的情報・所持情報・生体情報のうち2つの認証方式を組み合わせて行う方法で、ID・パスワードの入力後に数桁の数字からなる認証コードをメール等で送信する2段階認証などがあります。
セキュリティ確保の対策
コンピュータウイルスとマルウェア
1995年の通商産業省(現・経済産業省)による定義によると、「第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、自己伝染機能・潜伏機能・発病機能のうち1つ以上を備えるもの」をコンピュータウイルスといいます。
また、コンピュータに入りこんで不正行為を行う、悪意のあるプログラムのことをマルウェアと呼びます。マルウェアは広義のコンピュータウイルスに当たります。具体的には、以下のようなマルウェアがあります。
トロイの木馬:無害なソフトウェアになりすます。自己増殖はしない。
ワーム:独立して活動し、自己増殖する。
狭義のウイルス:他のファイルに寄生して活動し、自己増殖する。
マルウェアへの対策
PCなどの端末には、ウイルス対策ソフトウェアを導入し、常にウイルス定義ファイルを最新に保つことで最新のウイルス情報を取り込んでおくことが必要です。
また利用している情報システム自体に、設計ミスなどによるセキュリティホールが存在することがあります。OSやアプリケーションソフトウェアのセキュリティホールなどの不具合を放置しておくと、不正侵入やコンピュータウイルスの侵入を許す危険があります。そのため、OSやソフトウェアも最新の状態に更新しておく必要があります。また、ファイヤウォールの導入によりネットワークへの不正侵入を防ぐことも有効です。
組織としての対応
組織は、セキュリティ対策のルールとして定められた基本方針と対策基準からなるセキュリティポリシーを構成員に周知し、実施手順を含めた組織全体での運用ができるようにする必要があります。
基本方針では、情報セキュリティの必要性・情報資産・責任者・組織体制を明確にします。対策基準は、「何を実施しなければならないか」を定めたものであり、実施手順は「どのように実施するか」を定めたものです。
また、情報セキュリティに関する状況は常に変化するため、情報セキュリティポリシーは常に評価と見直しを継続する必要があります。
ユーザーの心構え
現在のコンピュータウイルスでは、件名や内部関係者を装ってウイルス付きのメールを送るといった特定のターゲットを狙った標的型攻撃が増えています。これらは、個人情報・機密情報などの知的財産や金銭的利益の取得、破壊行為を目的として行われます。怪しいメールを開かないなどの組織内のルールだけではなく、個人としても、このような攻撃手法があると知っていることが大切です。
パスワードなどの重要な情報を、情報通信技術を使用せずに盗みだすソーシャルエンジニアリングへの対策も必要です。ソーシャルエンジニアリングの例としては、関係者に成りすまして電話でパスワードを聞き出しやパスワードの入力画面の覗き見(ショルダーハッキング)、ごみ箱の書類をあさる(トラッシング)といった行為があります。
また、街中には公衆無線LAN(無料Wi-Fi)が増えていますが、この通信内容が傍受されている可能性や、悪意のある第三者が設置した可能性にも注意が必要です。利用するときには、信頼できるものか確認し、常に最新の暗号方式によるものを利用することが推奨されます。
無線LANアクセスポイントの設置する場合には、MACアドレスによるフィルタリングの設定・接続端末の制限・SSIDへのステルス機能の利用など第三者に利用されにくい設定を心がけるとよいとされています。
また、インターネット(Web)の利用の際には、データが暗号化されるhttpsで通信できるサイトだけを利用するなどの対策を心がけましょう。
この記事が気に入ったらサポートをしてみませんか?