第119話 経営情報システム⑯ ウィルスとか
今回は、セキュリティ対策の基本的知識ということで始めてみたいと思います。システム上のセキュリティを強化しても、実際に使用するユーザの意識が低ければ意味がないですね。セキュリティ対策を運用していく上での留意点を確認しましょう。
データやシステムに対するアクセスをコントロールするのがアクセスコントロールだ。権限を制限する、ということでしょうね。ユーザレベルのコントロールとアクセスレベルのコントロールがある。
運用面におけるセキュリティ対策としては、情報セキュリティポリシーの策定および実行が挙げられる。またアクセス権の確立やセキュリティ教育も必要だ。システム監査の実施もポイントだ。さらには定期的なセキュリティのメンテナンスもする必要がある。定期的にメンテナンスすることで、セキュリティホールをなくすことが必要である。
なお、セキュリティホールとは、ソフトウエアの設計ミスによって生じた、セキュリティ上の弱点のこと。対策のための修正プログラム(パッチ)が無償で配布されるため、アップデートする必要がある。
・・・つまらん。
また、関連する用語には、以下のようなものがスピテキで紹介されている。
①ソーシャルエンジニアリング
話術や盗み聞き、盗み見など社会的手段によって(電子的方法を用いずに)、組織内部の人間からパスワードや機密情報のありかを不正に聞きだして入手する行為のこと。
②IT資産管理
社内のPCやサーバ、ソフトウエア等のIT資産を管理すること
③EIM
EIMとは、Employee Internet Management の略で、職場での私的なホームページ閲覧や電子メール利用などを監視・制限することにより、従業員のインターネット利用状況を管理すること。
なんだか散文的でつまらんですなぁ。
次の話題はネットワーク犯罪の代表的な手口について。
・盗聴
・なりすまし
・フィッシング
・改ざん
・DoS(Denial of Service)攻撃
・コンピュータウィルス
・ワーム
→ ネットワークに接続されたコンピュータ間を自己複製しながら移動するウィルス
・踏み台
→ 他のネットワークへ不正侵入するための足場として、リソースを不正に使用する手口のこと
・ポートスキャン攻撃
→ サービスを提供するサーバに対して、攻撃に適するポートが啓いていないかを調べる目的で行われる不正アクセスの手口
・スパイウエア
→ ユーザの許可なく、ユーザの情報をソフトウエア製作者に配信するソフトウエアの総称
・ブラウザクラッシャ
→ 悪意のあるスクリプトが埋め込まれたWebページにより、Webブラウザに過剰な負荷をかけたり、Webブラウザのセキュリティホールを悪用する仕組み
・クロスサイトスクリプティング
→ 標的となるサイトに対して不正なスクリプトを含んだデータを送信させるよう利用者を誘導し、不正なスクリプトを利用者のブラウザ上で実効させる攻撃。攻撃を受けるとクッキーが搾取され、個人情報が漏洩するなどの被害が生じる
・標的型攻撃メール
→ 特定の組織が保有している機密情報や個人情報の窃取を目的として、特定の組織や個人を攻撃するウィルスメール
基本的には覚えるだけということになるのですが、最近の傾向からしてこういう出題は考えにくいんだよなぁ。
続く。