情報セキュリティとは
情報セキュリティとは、情報資産を守ることである。
この情報セキュリティを脅かすリスク要因を「脅威」という。
情報セキュリティに関する脅威は、大きく3つに分類される。
- 人的脅威
- 技術的脅威
- 物理的脅威
人的脅威
人的脅威とは、人によって引き起こされる脅威である。
クラッキング
クラッキングとは、悪意を持ってコンピュータに不正侵入し、データを盗み見たり、破壊したりすることである。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、特別なツールや技術は使わず、人間の心理的なスキを利用して、秘密情報を手に入れることである。
ソーシャルエンジニアリングの一例に、「ショルダーハック」や「トラッシング」がある。
「ショルダーハック」は、他人がパスワードなどの秘密の情報を入力しているところを肩越しに盗み見ることである。
「トラッシング」とは、捨てられた書類や記録媒体から、IDやパスワードなどを盗み出すことである。
技術的脅威
技術的脅威とは、技術的な手段によって引き起こされる脅威である。
マルウェア
マルウェアとは、悪意のあるソフトウェアの総称である。
「コンピュータウイルス」、「ボット」、「スパイウェア」、「ランサムウェア」、「トロイの木馬」については、こちらの記事をご覧ください。
RAT
RAT(Remote Administration Tool/Remote Access Tool)とは、物理的に離れたパソコンを、ネットワーク経由で遠隔操作するマルウェアである。
フィッシング
フィッシングとは、金融機関などを装い、利用者を偽サイトに誘導し、暗証番号やクレジットカード番号などを入力させて、それらを不正に取得することである。
SPAM
SPAMとは受信者の承諾なしに無差別に送付されるメールのことである。
Dos攻撃
Dos攻撃とは、電子メールやWebサーバーへの要求などを大量に送り付けて、ネットワーク上のサービスを提供不能にすることである。
総当たり攻撃
総当たり攻撃とは、パスワードとして考えられる文字列のすべての組み合わせを実行することで、パスワードを割り出す攻撃である。
辞書攻撃
辞書攻撃は、辞書に登録されている意味のある文字列(単語・語句や人物名など)を組み合わせたパスワードを用いてシステムへのログインを試みるという手法である。正解のパスワードを見つけるまでさまざまな組み合わせを試し続ける。
クロスサイトスクリプティング
クロスサイトスクリプティングとは、攻撃者が送り込んだ悪意のコードをそのページを閲覧した不特定多数のユーザーに、スクリプト(簡易的なプログラム)として実行させる可能性があることを指す。
攻撃者が罠を仕掛けたWebサイトから、標的となる別のWebサイトにユーザーを誘導、つまりサイトをまたいで(サイトをクロスして)攻撃を行うことが「クロスサイト」の由来となっている。
(参考)(株)日立ソリューションズのWebサイト
セキュリティホール
セキュリティホールとは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言う。セキュリティホールが残された状態でコンピュータを利用していると、ハッキングに利用されたり、ウイルスに感染したりする危険性がある。
(参考)総務省のWebサイト
物理的脅威
物理的脅威とは、施設や機器などが物理的な手段によって、直接的に損害を受ける脅威である。
物理的脅威には、災害や停電、盗難、破壊などがある。
コメント