脅威は事故原因、脆弱性は弱点
以前出てきました「脅威」とは、「システムまたは組織に危害を与える、好ましくない事故の潜在的な原因」と定義されます。
情報資産の機密性・完全性・可用性を損なう原因、といった方がわかりやすいでしょうか。
例えば、盗難(人為的意図的脅威)、紛失(人為的偶発的脅威)、洪水(環境的脅威)がありますと、情報資産が一部消失したり(完全性が損なわれる)、利用したくてもできなります(可用性が損なわれる)ので、これらは脅威の具体例としてあげることができるわけです。
他方、「脆弱性」とは「脅威によって影響を受けうる情報資産の弱点」のことです。
先の例で言えば、入退室管理が徹底されていないことは盗難に対する脆弱性、情報資産の持ち出しルールの不備は紛失に対する脆弱性、データセンターが河川のそばに立地していることは洪水に対する脆弱性といえます。
事例を読ませて、脅威と脆弱性を指摘させる問題が毎回のように出題されます。過去問を解いて慣れておくとよいでしょう。
STRIDE脅威モデル
ネットワークシステムやWEBアプリケーションに対する脅威については脅威の頭文字をとったSTRIDE脅威モデルというものがあります。英語表記は覚えなくてもいいですが、内容を知らないと即アウトなのでご注意ください。
Spoofing Identity | なりすまし | ユーザーID、パスワードを盗んでその人のふりをして不正行為を行なうこと |
---|---|---|
Tampering with Data | データの改ざん | ネットワーク経由でコンピュータに不正侵入してデータを書き換えること |
Repudiation | 否認 | ネットワーク上でした売買などの契約を否認すること(例えば通信履歴を消して代金支払いを拒否する) |
Information Disclosure | 情報の漏えい | ネットワーク経由でコンピュータに不正侵入して情報を不正取得すること |
Denial of Service (DoS) | サービス拒否 | 大量のデータを送りつけるなどしてコンピュータに過大な負荷をかけてシステムをダウンさせること |
Elevation of Privilege | 特権の昇格 | 不正侵入した攻撃者が管理者権限を不正取得してファイルの改ざんなど不正行為をすること |
特に重要なのは「否認」と「サービス拒否」の区別です。日本語だけ見ますとどちらも同じことのように聞こえるのですが、中身は全く異なりますのでしっかり区別してください。サービス拒否=Denial of Service(DoS)だけは英語と日本語の両方を覚えておいた方がいいかもしれません。「DoS攻撃」などという用語も後ででてきますから。
ソーシャルエンジニアリング
ユーザーIDやパスワードなど不正アクセスに必要な情報を関係者から直接聞き出す不正アクセスの手口をソーシャルエンジニアリングといいます。
ソーシャルメディアの利用とは全然関係ありません。
具体的手口にはさまざまなものがあります。
ショルダーハック
肩越しにのぞいてパソコンにパスワードを入力するところや机上のパスワードのメモを盗み見することです。
トラッシング(スカビンジング)
ゴミ箱あさりのことです。パスワードのメモなどを安易に捨ててはいけません。産業廃棄物の中からハードディスクをとりだし中を見るケースも含まれます。
ピギーバック(不正入構)
ピギーバックとはおんぶのことです。社員がIDカードを使って入室する直後、ドアが閉まる前にいっしょに入室してしまう手口などがあります。
フィッシング(phishing)
偽のホームページに誘導してユーザーIDやパスワードを入力させたりする手口です。ネットバンキングの偽Webサイトに誘導してお金を送金させてしまうという悪質なものもあります。
リバース・ソーシャル・エンジニアリング
ユーザーの方から不正侵入者にコンタクトをとる仕掛けを仕組んでおいてユーザーからの連絡を待つ手口です。
典型例は、システム管理者を装い偽の連絡先を伝えておき、本当にシステムトラブルなどがおこったときに連絡してきたユーザーからアクセスに必要な情報を聞き出してしまう手口です。