ポイント●情報セキュリティ事故を引き起こす要件とは「情報資産」「脅威」「脆弱性」である●過失(ヒューマン・エラー)は対策が困難な脅威である ●「教育」「訓練」「マニュアルの整備」は情報セキュリティ対策に効果的な施策となる |
 |
今回は,「情報セキュリティ事故はどのような要件が組み合わさって起こるのか」,そして「効果的な情報セキュリティ対策とは何なのか」という点について見ていきます。
事故を引き起こす要件とは
まず事故を起こす要件の方から確認していきましょう。情報セキュリティ事故は,次の三つの要件で成り立ちます。
|
◆情報資産(Information Asset):組織や企業がその業務を遂行するうえで不可欠な情報 ◆脅威(Threat):それが発生した場合,望ましくない影響を及ぼす可能性がある事象 ◆脆弱性(Vulnerability):情報セキュリティ上の欠陥や問題点 |
例えば,Excelファイルにまとめた顧客情報という情報資産がサーバー上にあって,サーバーでユーザー認証をしていないという脆弱性があったとします。でも,これだけでは事故にはなりません。ここに「サーバーへの不正侵入」という脅威が組み合わさった時,初めて事故になります。
さて,ここで三つの要素のうち「脅威」に注目して,情報資産に対してどんな脅威があるかをマトリックスで分類してみましょう(図1)。
|
縦軸は「意図的に行われるか」「非意図的に行われるか(偶発的か)」,横軸は「人為的に行われるか」「非人為的に行われるか」となっていて,それぞれが交わるところに例を入れてみます。
まず,左上の「人為的かつ意図的」な部分。ここは割といろいろなものが思いつくかと思います。不正侵入や破壊,漏洩,改ざん・・・。いろいろな攻撃手法がありますが,誰かが何かの目的で攻撃を仕掛けてくるケースです。
次に,対角にあります右下の「非人為的かつ非意図的」な部分には,災害や障害などが入ります。「サーバーの故障」などは決まった日時に発生する性質のものではないので,イメージできるでしょう。
右上の「非人為的かつ意図的」な部分は考えなくても良いでしょう。例えば「○月×日に△社のデータセンターを狙ってやってくる台風」などはありません。
さて,一つ残りました。図1の左下の部分,すなわち人為的かつ非意図的な部分です。どんな脅威が想定できますでしょうか。こんな質問をされると,答えが浮かんで来ないかもしれませんが,正解を聞くと「なぁんだ」と思う,誰でも知っているようなモノです。
