情報資産の脅威への対策 ITパスポートの学習で身に付くIT用語

2021年8月28日 2021年8月28日

Maverick

情報資産の脅威への対策

今回は、情報資産が抱える脅威への対策について解説していきたいと思います。

これらは「情報セキュリティ」に関する事になってきますので、ITパスポートでは平成26年5月から出題数が増加しました。

出題数が増えた、ということは点を稼ぐチャンスということなので、是非とも覚えていってくださいね！

ITパスポートでの分類は、ストラテジ系・マネジメント系です。

また、社会に出てからこういった情報資産の対策は重要になってきます。

今から学んでおくことでしっかり情報を守る事ができるので、今から頑張って覚えていきましょう！

脅威への対策方法

情報資産が抱えている脅威には「技術的脅威」「人的脅威」「物理的脅威」の3つがあります。

それぞれの脅威に対して適切な対応を取る必要があるのです。

技術的脅威への対策には、コンピュータウイルスの対策などユーザ個人が行う対策から、企業などの会社が企業内LANを守るために行う対策まで幅広いものがあります。

コンピュータウイルスへの対策

はじめに、コンピュータウイルスに対する対策方法を解説していきたいと思います。

コンピュータウイルスの予防や検知、感染した後の対応方法については、経済産業省が「コンピュータウイルス対策基準」としてまとめているものがあります。

ウイルスの予防

コンピュータウイルスの主な感染源は、電子メールとWebサイトによるものです。

電子メールからの感染を防ぐためには、知らない人、覚えのない人から送られてきたメールや添付されているファイルを不用意に開かないことが一番の予防になります。

Webサイトの閲覧からの感染を防ぐためには、怪しいサイトなどが表示されないように、あらかじめブラウザに設定しておくなどといった対策を必要とします。

ウイルスの検知

コンピュータにあらかじめ、「ウイルス対策ソフト」をインストールさせておきます。

ウイルス対策ソフトとは、ウイルスの情報を「ウイルス定義ファイル」として持っており、これを基にコンピュータ内のウイルスを検知し、駆除するソフトウェアになっています。

ウイルスは日々新しいものが作られているため、最新のウイルスに対応できるように、ウイルス定義ファイルを定期的に更新する作業が必要となってきます。

また、ウイルスを検知する方法には、前述したものの他にプログラムの動きが正常であるかを監視し、意図しない外部への通信などのような、不審な動きがないかを確認する「振る舞い検知(ビヘイビア法)」という方法もあるのです。

感染した後の対策

ウイルスに感染した場合は、すぐにコンピュータからネットワークを切り離すのが重要になってきます。この理由としては、ネットワークを介して他のコンピュータに感染してしまったり、ウイルスが増殖してしまったりするのを防ぐためです。

会社や企業の場合は、速やかにネットワークから切り離した後、システム管理部門の担当者に連絡をしてください。ウイルスの駆除や感染経路の特定、感染媒体の破棄を行う必要が出てくるからです。

迷惑メールの対策

スパムメールなどの迷惑メールには決して返信をしてはいけません。苦情などの返信をしてしまった場合、そのメールアドレスが使用されているアドレスであるということを発信者に知らせてしまう危険性があるからです。

メールソフトの自動振り分け機能などを利用し、普段利用するメールフォルダとは別のフォルダへと振り分けるように設定する事で煩わしさを軽減することができます。

また、メールの経路情報から発信元であるプロバイダが判明した場合には、プロバイダに通報することが有効手段となっています。

これは企業や会社のみならず、個人のものでも有効に使うことができます。

脆弱性をついた攻撃方法の対策

バッファオーバーフロー攻撃などのセキュリティホールに対しては、ソフトウェアのメーカがWebサイトなどで、修正用のプログラムである「セキュリティパッチ(パッチファイル)」が公開されていないか、更新されていないかを定期的に確認してください。公開されていれば、それをソフトウェアに適用してください。

また、クロスサイトスクリプティングやSQLインジェクションのように、有害な文字列を入力されることで行われるような攻撃には、「サニタイジング」と呼ばれる対策方法もあります。

サニタイジングでは、ユーザが入力した内容から有害である文字列を検出し、無害な文字列に書き換えることが可能となっています。

アクセスを制限する

コンピュータやデータに対し、アクセスできる人を制限することで、権利を持っていない人がデータに触れられないようにするということもできます。このデータにアクセスできるユーザを制限することを「アクセス制御」と呼びます。

また、アクセス制御においてユーザが本人であるかどうかを確認するものを「認証」と呼びます。

認証には次のような方法があります。

IDとパスワード

ユーザ本人にしか知り得ないIDとパスワードを求めることで、認証を行う方法です。ただ、IDとパスワードを盗まれるなどして、なりすましの被害に遭う可能性は否定することができません。その対策方法として、普段から定期的にパスワードを変更する、同じIDとパスワードを複数のサービスで使用しないなどがあります。

また、管理者側から「英数字をそれぞれ1種類以上含む8文字以上のものにする」というような表示がされます。この条件のことを「パスワードポリシ」と呼びます。このパスワードポリシを設定したり、認証に複数回失敗したユーザはしばらくログインできないような仕組みにしたりという方法もあります。

一度きりしか使用することができない使い捨てのパスワードを生成する「ワンタイムパスワード」という技術も有効です。

マトリクス認証

マトリクス認証とは、あらかじめユーザが設定しておいた位置とその順番通りに数字を指定する事でパスワードを入力する認証方法のことです。

これは、数字がパスワードとなっておらず、入力場所と順番がパスワードとなっており、数字や文字の並びはアクセスするたびに変化するため、万が一、数字でパスワードが盗まれたとしても、不正ログインされる恐れがないのです。

バイオメトリクス認証(生体認証)

ユーザ本人の指紋や手のひらの静脈パターン、目の虹彩といったような身体的特徴や、筆圧などの行動上の特徴によって行われる認証を「バイオメトリクス認証(生体認証)」と呼びます。認証をするために特別な装置が必要となってきますが、ユーザはIDやパスワードを入力したり、鍵やカード類を持っていたりする必要がなくなります。

また、身体的特徴は偽造が難しく、時間が経ったとしても変化が小さいものが優れています。例えば、顔や声は年が経つにつれて変化しやすいですが、指紋や目の虹彩は月日が流れても変化しにくいです。

認証方法は1つの認証だけでなく、複数の認証を組み合わせることにより、セキュリティを更に高めることができます。

例えば、IDとパスワード、更に指紋認証を行っていた場合、パスワードを盗まれたとしても、指紋認証を行っているため、情報を守れる可能性が高くなるのです。

この、複数の認証方法を組み合わせて認証を行うことを「多要素認証」と呼びます。その中で更に2つの要素を組み合わせたものを「2要素認証」、3つを組み合わせたものを「3要素認証」と呼びます。

シングルサインオン

一度認証することで、複数のサービスの認証を行うことを「シングルサインオン」と呼びます。

これは、ユーザが複数のIDとパスワードを覚えきれずに、付箋にメモし机に貼ってしまうというようなセキュリティ上問題がある行為を予防する目的があります。

ネットワークセキュリティ

コンピュータをネットワークに接続すると、ネットワークを介して他のコンピュータとのデータをやり取りすることができます。そのためとても便利ですが、一方で外部からアクセスされるという危険もあります。

だからこそ、ネットワークを介した不正アクセスを防ぐために様々な技術があります。

ファイアウォール

企業内のLANなどの内部ネットワークとインターネットなどの外部ネットワークの間に配置して、外部からの不正アクセスを防止するシステムのことを「ファイアウォール」と呼びます。

ファイアウォールを設置した場合、内部の外部のネットワークの間にどちらからも隔離された区域ができます。その区域のことを「DMZ(非武装地帯)」と呼びます。このDMZには、Webサーバやメールサーバなど外部とデータをやり取りするサーバを置きます。万が一ファイアウォールの隙を突かれてしまい、DMZにあるサーバを乗っ取られてしまっても、DMZは隔離されているため内部ネットワークに影響を及ぼすことなく防ぐことができます。

proxy(プロキシ)

内部のネットワークからインターネットへと接続する際、内部のネットワークのコンピュータに代わってインターネットへ接続するコンピュータのことを「proxy(プロキシ)」と呼びます。

外部からはアクセス元がproxyのコンピュータであると認識されているため、本当のアクセス元のコンピュータの情報を隠すことができます。

近年では、仕事でノートPCやスマートフォンなどの端末を利用することが多くなってきています。

外出先や自宅で使用している機器をそのまま企業内のLANに接続してしまうのはとても危険なので、次のような対策を行う必要があります。

検疫ネットワーク

社外から持ち込んだPCを社内で利用する際、セキュリティ上の問題を抱えていないかどうかを検査用のネットワーク領域でチェックしてから社内に接続させる仕組みがあります。その仕組みのことを「検疫ネットワーク」と呼びます。

安全が確認された場合は社内のネットワークに接続することができ、脆弱性があると判断されたPCにはパッチを当てる、というような働きをします。

MDM

社員へと貸し出すスマートフォンなどのモバイル端末において、会社のセキュリティ方針に従った設定を行ったり、遠隔地から操作できるようにソフトウェアを導入したりするなど、システム管理者が端末を一元管理していく仕組みのことを「(Mobile Device Management)」と呼びます。

社員による危険なソフトウェアのインストール防止や、紛失した際にリモートでロックを掛けたりする事ができ、セキュリティを確保しているのです。

ペネトレーションテスト

コンピュータのシステムに対して、実際に外から攻撃して侵入を試みることでセキュリティ上の弱点を発見するようなテストのことを「ペネトレーションテスト」と呼びます。

定期的に行うことにより、問題点の対策や安全性を保つことができるのです。

無線LANのセキュリティ

無線LANは電波で通信を行っています。そのため、電波が届く場所であれば悪意のあるコンピュータから通信内容を盗み聞きされてしまったり、不正にアクセスされてしまったりする事があります。

そのため、無線LANにおけるセキュリティの技術もあるので、早速見ていきましょう。

通信の暗号化

無線LANの通信を暗号化することにより、例えデータを盗まれたとしても、内容を読み取らせないようにする事が出来るのです。無線LANの暗号化方式には3つあります。

＜無線LAN通信の暗号化方式＞

方式	説明
	古くからあるもの。脆弱性があるため現在は使用されていない
	WEPを改良した後継。TKIPやAESという暗号化技術を採用している
	WPAを改良した跡継ぎ。更に高いセキュリティを実現した

セキュリティの強度はWPA2が高く、WEPが低くなっています。

ESSIDのステルス化

ネットワークを識別するESSIDを公開してしまうと、悪意のある人が同様のESSIDを使用してネットワークにアクセスしてしまう危険性が出てきます。そのため、ESSIDを外部から見つからないようにしなければなりません。ESSIDを外部から発見できないようにすることを「ESSIDのステルス化」と呼びます。

MACアドレスフィルタリング

コンピュータやネットワーク機器には製造されたときに「アドレス」と呼ばれる固有の番号が振られます。あらかじめ登録されたMACアドレスのみしか無線LANのアクセスポイントに接続できないように設定することを「MACアドレスフィルタリング」と呼びます。

これを行うことで、ネットワークの不正使用を未然に防ぐことができるようになるのです。

その他の対策

人的脅威の対策としては、企業であれば、情報の取扱マニュアルを整備したり、人員の意識改革を行ったりすることが有効です。また、廃棄物からの情報漏洩もあり得るため、書類はシュレッダーで、HDDやCDなどの記憶装置にはデータの復元ができないように物理的に破壊するといった対策が必要となります。

物理的脅威の対策としては、予備のコンピュータや補助電源を導入しておくことが効果的です。災害などで停電になってしまった際、これらがあることによって、機械をある程度であれば守る事が可能となります。

盗難に対しての対策としては、入退室の管理や施錠など、身近なことから徹底していき、警備を強化しておくことが簡単で確実な対策となります。特にノートPCは持ち運びがしやすいため、盗難被害に遭うことが多いです。だからこそ、「セキュリティワイヤ」というワイヤを使用して、机や柱などにくくりつけておく方法もあります。

また「クリアデスク」といって、オフィスなどで従業員が長時間離席したり、帰宅したりする場合には大事な書類を机の引き出しにしまうといった整理整頓といった対策を行うことで、情報漏洩を防ぐこともできるのです。