情報セキュリティリスクの要素「脅威」と「脆弱性」とは?適切にセキュリティ対策をする方法
更新日 : 2024年11月13日
独立行政法人 情報処理推進機構(IPA)が2024年1月に発表した「情報セキュリティ10大脅威 2024(https://www.ipa.go.jp/security/10threats/10threats2024.html)」において、組織における脅威第4位は「標的型攻撃による機密情報の窃取」となっています。 では、情報セキュリティにおける「脅威」には、他にどのようなものがあるのでしょうか。
|
目次 |
情報セキュリティリスクとは
情報セキュリティリスクとは、情報システムとそのデータについて損害やマイナスの影響を生じる可能性を持ったリスクのことを指します。
情報セキュリティの構成要素は、不正アクセスなどの「脅威」とセキュリティホールなどの「脆弱性」に大別されます。何らかの脆弱性をつく形で脅威が発生したとき、セキュリティインシデントが発生するのです。
情報セキュリティの脅威
情報セキュリティリスクを顕在化させるものが「脅威」です。脅威には、大きく分けて人に起因するもの、作業環境に起因するものがあります。人に起因する人為的脅威は、さらに意図的に起こされるものとそうでないものとに分類されます。
意図的脅威
標的型攻撃やマルウェア感染、Webサイトの改ざんなど、外部の人間による悪意ある行為は社会的な影響が大きい脅威の代表例です。 従業員や元従業員が機密データを持ち出し、金銭に変えたり悪用したりといった内部不正も、意図的脅威にあたります。発生頻度は高くはないものの、不正アクセスなどによる被害は大規模なものとなることが多いため、しっかりとした対策を講じることが必要です。 |
偶発的脅威
従業員がルールに則らず外部に持ち出したPCや記録媒体が盗難にあったり、システムの操作ミスにより機密情報を漏洩させてしまったりといったケースもあります。このようなヒューマンエラーなどは偶発的脅威と分類されます。 故意ではなかったとしても、内部の人間による不適切な行動がリスクを呼び込むことがあるのです。 |
環境的脅威
環境的脅威とは、地震や台風、落雷、火事といった自然災害のことです。高気温や高湿度などの異常気象も、環境的脅威になり得ます。災害によってサーバーなどのハードウェアや電気、建物自体などが使えなくなると、情報システムの停止を引き起こします。 信頼性・安全性が求められる医療や航空などのシステムの場合は、停止となると特に社会への影響が甚大となってしまいます。 |
情報セキュリティの脆弱性
脆弱性とは、脅威によって突かれる弱点を指します。 下記に、情報セキュリティの脆弱性の主な例をご紹介します。 |
ソフトウェアの脆弱性
WebブラウザやOfficeなどのソフトウェアやOSには、潜在的不具合や時間の経過によって発生した不具合が発見されることがあります。 悪意あるメールの多くは、この不具合を利用したものです。 メールを開封したりWebサイトを閲覧したりすることによりマルウェアに感染し、PCが使えなくなる、別のPCへ感染を広げるなどの現象が起こります。 |
管理文書・体制の不備
ソフトウェア仕様書や操作手順書の不備、情報管理の体制の不備も、ソフトウェア障害や誤操作、セキュリティ事故対応の遅れの遠因となります。 |
災害やトラブルに弱い立地
天災に見舞われやすい、または停電が起きやすい場所などにデータセンターがある場合は、サーバーの故障や破損でシステムが稼働できなくなる可能性が高いといえます。 |
情報セキュリティ対策の例
情報セキュリティにおけるさまざまな脅威に対しては、どのような対策をとればいいのでしょうか。 一例として、3つの情報セキュリティの脅威について、取るべき対策を見ていきましょう。 |
【対策例1】標的型攻撃メールへの対策
標的型攻撃メールとは、メールにマルウェアが添付されたり内容に偽のリンクが設定されていたりする、悪意あるメールです。 メールを開封したりURLにアクセスしたりすると、情報を盗み出すマルウェアに感染し、機密情報が漏洩する恐れがあります。標的型攻撃メールはウイルス対策ソフトで検出されないこともあるために感染に気付きにくいのです。 |
標的型攻撃メールの脅威を回避するには、OSや使用しているソフトウェア、ウイルス対策ソフトは常に最新のバージョンに保つことが必要です。また、従業員に向けて怪しいメールを開かないよう周知を徹底することも併せて実施するべきでしょう。
【対策例2】従業員による機密データの持ち出しへの対策
近年はクラウドサービスやBYODなどの推進が進んでいることから、外出先や自宅でもPCやモバイル端末で仕事ができるようになっています。 しかし残念ながら、そのような環境を利用した従業員の不正や不注意によって、機密データが持ち出されるケースもあります。 |
企業の関係者による不正への対策としては、ユーザーアカウントを配布し、適切なアクセス権限を設定することが挙げられます。また経営者や情報セキュリティ管理者から従業員への指導を行い、意識の変容を促すことも必要です。
【対策例3】クラウドサービスにおけるデータ管理への対策
クラウドサービスにおいては、システムの運用・保守は事業者側で行われることになり、保管されたデータも基本的には事業者によって管理されることになります。 ただシステム障害や定期メンテナンスが行われる場合はサービスが停止することもあります。 十分な情報セキュリティ対策を行っているサービスを選定するのはもちろんのこと、サービス停止時のことも考え、定期的なバックアップの実施や代替システムの検討を行いたいところです。 |
まとめ
今回は、情報セキュリティにおけるリスクである「脅威」と「脆弱性」について、対策例などを交えながらご紹介しました。
情報セキュリティリスクをすべて排除することは現実的には難しく、情報セキュリティ担当者にとっては大きな負担にもなり得ます。
コストと担当者の負荷の両面から考え、企業にとって必要な情報セキュリティサービスの活用もご検討ください。
情報セキュリティリスク対策の導入に関するご相談・お問い合わせ
- 情報セキュリティリスクとは?
情報セキュリティリスクとは?情報システムとそのデータについて損害やマイナスの影響を生じる可能性を持ったリスクのことを指します。詳しくはこちらをご覧ください。
- 情報セキュリティの脅威とは?
大きく分けて人に起因するもの、作業環境に起因するものがあります。詳しくはこちらをご覧ください。
- 情報セキュリティ対策として何を実施すればよい?
対策として3つ挙げられます。詳しくはこちらをご覧ください。