[情報セキュリティマネジメント試験]脅威[無料講座・例題付き!]
今回は情報セキュリティマネジメント試験における脅威について学習します。
脅威
情報セキュリティを学ぶにあたって、セキュリティ対策の前にどのような脅威があるかを学習しなければいけません。
脅威とは像法資産を危険にさらすものの総称で、最初の方に学んだ各種サイバー攻撃も脅威です。
しかしそれだけでなく事故や故障・自然災害も脅威と言えるのでその点も踏まえて詳しく学んでいきましょう。
人的脅威
人的脅威とは人によって起こる脅威です。
盗み見や不正利用といった悪意のある物から誤操作や紛失といった偶発的な内容の物もあります。
特に企業や組織で起こる内部不正は3種類の脅威の中でも人為的脅威に寄ったものが多く、被害件数も多くなっています。
具体的な脅威として以下のようなものが挙げられます。
- 盗み見・・・背後や席を立っている隙にこっそり見ること
- 不正利用・・・権限がない人が不正に利用すること
- ソーシャルエンジニアリング・・・技術面ではなく、心理的な隙や行動から情報を入手すること
- 誤操作・・・誤って正常な動作以外の動作をすること
- 紛失・・・情報資産に関係するものを失くしてしまうこと
技術的脅威
技術的脅威はプログラミングやネットワークなど技術的な側面を使って起きる脅威です。
具体的な例でいえばコンピュータウイルスが該当します。
それ以外にもコンピュータのエラーや故障など、偶発的に起こる場合もあります。
- 不正アクセス・・・アクセス権限が無い者が、何らかの手段を用いて侵入すること
- 盗聴・・・ネットワークを流れる情報を盗み見ること
- なりすまし・・・本人ではないのに、本人の振りをしてログインしたりシステムを利用したりすること
- 改ざん・・・Webページや書類などを書き換えること
- クラッキング・・・悪意のある目的で高い技術力を用いてシステムを破壊すること
- エラー・・・プログラムのバグのためにシステムが停止または誤動作を起こすこと
物理的脅威
物理的脅威は直接的に情報資産を破壊することで起きる脅威です。
システムやデータを壊すことで情報セキュリティの要素の一つ、可用性を損ないます。
情報セキュリティと聞くとシステム的な(技術的な)脅威に目が向きがちですが、物理的脅威も立派な脅威の一つなので注意しましょう。
こちらも意図的にデータを破壊するパターンと、自然災害などで偶発的に破壊されてしまうパターンがあります。
- 破壊・・・物理的に破壊すること
- 窃盗・・・情報資産を持ち去ること
- 不正侵入・・・管理者しか入れないような管理室等に忍び込むこと
- 事故・・・誤って破壊してしまうこと
- 故障・・・経年劣化などによりエラーが起こること
- 自然災害・・・地震・雷・火事・親父などで機器が破損すること
脅威・例題
実際に例題を解いて問題に慣れていきましょう。
問題
問1
セキュリティ事故の例のうち,原因が物理的脅威に分類されるものはどれか。(iPass H.21/秋)
ア 大雨によってサーバ室に水が入り,機器が停止する。
イ 外部から公開サーバに大量のデータを送られて,公開サーバが停止する。
ウ 攻撃者がネットワークを介して社内のサーバに侵入し,ファイルを破壊する。
エ 社員がコンピュータを誤操作し,データが破壊される。
問2
情報セキュリティにおいて,業務で利用しているシステムに影響を与える事象a~dのうち,脅威によって直接的に引き起こされたものだけを全て挙げたものはどれか。(サンプル問題)
a.CD-ROMの劣化によって,保存しておいた顧客リストが利用できなくなる。
b.自然災害による停電や断水によって,システムが利用できなくなる。
c.定期的なメンテナンスによって,メンテナンス期間中はシステムが利用できなくなる。
d.メールサーバの設定ミスによって,メールサーバと連携して動作する自動問合せ業務システムが利用できなくなる。
ア a,b
イ a,b,d
ウ b,c
エ c,d
解説(クリックで展開)
脅威・まとめ
今回は脅威について学習しました。
人的脅威・技術的脅威・物理的脅威それぞれについて押さえておきましょう。
次回は人的脅威とその対策について深堀して学習します。
福井県産。北海道に行ったり新潟に行ったりと、雪国を旅してます。
経理4年/インフラエンジニア7年(内4年は兼務)/ライター5年(副業)
簿記2級/FP2級/応用情報技術者/情報処理安全確保支援士/中小企業診断修得者 など
