ここでは「基本情報技術者試験」に特化した情報セキュリティに関する知識を順を追って説明しています。
基本的な用語となるので、覚えていない方はまず用語から押さえていきましょう!
目次
セキュリティ脅威とは??
セキュリティ脅威(Security Threat)とは、コンピュータシステムやネットワーク、データ、ソフトウェアなどの情報セキュリティを危険にさらす要素や事象を指します。セキュリティ脅威は、悪意のある攻撃者や不正な行為、システムの脆弱性、自然災害、人為的なミスなど、さまざまな要因によって引き起こされる可能性があります。
また、悪意のある外部の者からの攻撃はもちろん脅威になりますが、内部のものによる行為も脅威になります。
不正のトライアングル
組織内での不正行為が発生するときの要素とされる概念を不正のトライアングルといいます。不正のトライアングルは、機械(Opportunity)、動機(Motivation)、正当化(Rationalization)の3つの要素で構成されます。
- 機械(Opportunity): 不正行為を行うための機会や状況が存在することを指します。例えば、内部統制が不十分な環境、業務プロセスやシステムにおける脆弱性、監視や監査が不徹底な状況などが機械となり得ます。不正行為を行うための条件が整っていることが、不正の発生を容易にする要素です。
- 動機(Motivation): 不正行為を行う人の動機や欲求を指します。個人的な利益追求、経済的な困窮、報復、野心、優位性の確保など、さまざまな要因が動機となる可能性があります。不正行為を行う人が何らかの刺激や誘因を持っていることが、不正の発生を促す要素です。
- 正当化(Rationalization): 不正行為を行う人が自身の行動を正当化するための理由や言い訳を指します。倫理的な規範の曖昧さ、自己正当化の傾向、組織内の文化や風土などが正当化の要素となり得ます。不正行為を行う人が自分の行動を合理化し、道徳的な障壁を乗り越えることが、不正の発生を容易にする要素です。
不正のトライアングルの理論では、これらの要素が相互に結びつくことで不正行為が発生する可能性が高まるとされています。組織はこれらの要素に着目し、機会を減らすための内部統制や監視体制の強化、動機や正当化を軽減するための倫理的な教育や文化の構築などを行うことで、不正行為のリスクを軽減することが求められます。
具体的なセキュリティ脅威手法(不正アクセス)
ポートスキャン
ポートスキャン(Port Scanning)は、コンピュータネットワーク上の特定の目的のポート(通信のエンドポイント)に対して、アクティブに接続可能かどうかを確認するための手法です。ポートスキャンは、セキュリティ評価やネットワーク診断、攻撃の準備など、さまざまな目的で使用されることがあります。
セキュリティホール攻撃
セキュリティホール攻撃(Security Hole Attack)は、コンピュータシステムやソフトウェアに存在する脆弱性やセキュリティ上の欠陥を悪用して攻撃を行う手法です。セキュリティホールは、システムやソフトウェアの設計や実装上のミス、未修正の脆弱性、認証の不備、設定ミスなどが原因で生じることがあります。
セキュリティホール攻撃は、攻撃者がセキュリティホールを見つけ出し、それを利用してシステムやソフトウェアに不正なアクセスや操作を行います。
ペネトレーションテスト
ペネトレーションテスト(Penetration Testing)は、システムやネットワークのセキュリティ評価手法の一つです。一般的には、組織のセキュリティ強化や脆弱性の特定を目的として、セキュリティ専門家(ペネトレーションテスター)が実際の攻撃手法やツールを使用して、システムやネットワークに対する攻撃を模擬的に行います。
まとめ
基本の知識があれば、応用はいくらでも効きます!
ましてや、基本情報技術者試験は基礎を押さえていれば問題ありません。
今後、ステップアップを目指していくに当たり、これを機会に基礎固めをしていきましょう!
ただ、こちらに書いたのは基礎中の基礎です。
参考書を一度読んで、どんな機能を持っているのか・導入することでどんなメリットがあるのかを考え、覚えていきましょう!
