情報セキュリティの基本

はじめに

情報セキュリティの基礎的なキーワードメモです

情報セキュリティの定義

情報の機密性、完全性、可用性を維持することと

1.機密性 (confidentiality):
　許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性
2.完全性 (integrity):
　資産の正確さ及び完全さを保護する特性
3.可用性 (availability):
　許可されたエンティティが要求したときに、アクセス及び使用が可能である特性

上記３つの頭文字をとってCIAと呼ぶ

拡張した定義は、以下の４つを追加する。
・真正性 (authenticity):
　ある主体又は資源が、主張どおりであることを確実にする特性。真正性は、利用者、プロセス、
　システム、情報などのエンティティに対して適用する。
・責任追跡性 (accountability):
　あるエンティティの動作が、その動作から動作主のエンティティまで
　一意に追跡できる事を確実にする特性。
・否認防止 (non-repudiation):
　ある活動又は事象が起きたことを、後になって否認されないように証明する能力
・信頼性 (reliability):
　意図した動作及び結果に一致する特性

脅威

脅威とは情報資産を脅かす可能性のある事象。
※対策が不可能な事象。自然災害は0にできない。サイバー攻撃や人的ミスも0にはできない

1.環境
　1-1.災害
　　・地震、台風、大雨、大雪等
　1-2.障害
　　・設備障害　　：停電や火災
　　・ハードウェア：サーバの故障
　　・ソフトウェア：OSやミドルウェア、アプリケーションのバグ
　　・ネットワーク：ネットワーク機器の障害や、利用している回線の障害
2.人間
　2-1.意図的：サイバー攻撃、盗難等
　　・不正アクセス
　　・サイバー攻撃
　　・ウイルス、マルウェア、スパイウェア
　　・内部スタッフによる盗難
　　・書類やPC紛失
　　・USBメモリからの感染　等
　2-2.偶発的：操作ミス、紛失、事故等
　　・管理者の誤操作：サーバやアプリのメンテナンス時の誤操作
　　・バグ：プログラムバグ
　　・利用者の誤操作：メール誤送信、クラウドサービス、公開ファイル等設定ミス
　　・紛失や誤廃棄：PCやUBメモリ、紙媒体等の紛失

脆弱性

　脅威が顕在化する情報セキュリティ上の欠陥

1.環境
　1-1.災害
　　・データセンターの災害対策が不十分
　1-2.障害
　　・設備
　　　停電対策：無停電電源装置が無い。
　　・ハードウェア
　　　サーバの故障：サーバが多重化されていない
　　・ソフトウェア
　　　パッチ適用がされていない
　　　バグが放置されている
　　・ネットワーク
　　　NW機器が多重化されていない
2.人間
　2-1.意図的：
　　・ウイルス対策がされていない
　　・WAFが無い
　　・ファイアウォールが未設定
　　・オペレーションルームの入退室管理がされていない
　　2-2.偶発的：操作ミス、紛失、事故
　　・サーバメンテナンス手順が無い
　　・アプリケーション操作手順がない
　　・サーバ再起動手順が無い
　　・クラウドサービスの仕様を理解していない
　　・機密データが暗号化されていない等

リスク対応計画

脆弱性への対応方法は４つに分類できる

1.軽減
　被害が減る対策を行う
　例：情報漏洩に備えデータを暗号化する。データセンターを多重化する
2.回避
　危険なことは実施しない
　例：クラウドサービスの情報漏洩に備え利用を禁止する
3.転嫁
　インシデント発生時のの被害を別の対象に転嫁する。専門企業に委託する。
　例：サイバー保険に加入する
4.受容
　対策をせず被害を許容する

サイバー攻撃の主な手法

1. アドレススキャン
2. ポートスキャン
3. スタックフィンガープリンティング
4. パケット盗聴
5. DNSサーバからの情報収集
6. ソーシャルエンジニアリング
7. フィッシング
8. DNSキャシュポイゾニング
9. ウォードライビング（無線LAN不正接続）
10. パスワードクラック
11. セッションハイジャック
12. セッションフィクセイション
13. バッファオーバーフロー（BOF）
14. クロスサイトスクリプティング
15. SQLインジェクション
16. OSコマンドインジェクション
17. HTTPヘッダインジェクション
18. 不正コマンドやリクエストの発行
19. DoS攻撃、DDoS攻撃
20. スパムメール
21. マルウェア（ウイルス、ワーム、スパイウェア、ボット等）

参考サイト

履歴

2021/6/18 作成
2021/6/27 記述変更
2021/7/13 定義を追加