てっぱんITクラブ
今回はセキュリティ対策の第一弾だよ。
具体的にセキュリティ攻撃を見ながら対策を紹介していく。
ぜ、前回はセキュリティのリスクとかでしたよね。
より実践に近い考え方って感じですかね?
そうだね。
今回と次回のセキュリティ知識を得ることで実際に攻撃を受けた時や受ける前にやるべきことがわかってくるよ。
なんだか、セキュリティって聞くとハッカーとか、ブラッディマンデイを思い出すんですけどイメージ合ってますか?
良い作品を知ってるねー、ちょっとオーバーにはしてるけどセキュリティ=ハッカーとかブラッディ・マンデイとかと一緒のイメージで大丈夫!
(ブラッディ・マンディとは「ドラマ化もされた週刊少年マガジンのマンガ」)
じゃあ、そんな漫画の題材にもなるセキュリティについて具体的に説明していくね!
人的リスクの対策
まずは人的リスク・人の手がシステムに介在することによって発生するセキュリティの穴や攻撃の紹介と対策について解説する。
漏えい・紛失
情報の入った記憶媒体やコンピュータを無くしてしまったり、間違えて情報を漏らしてしまった場合などが「漏えい・紛失」に該当する人的リスクだ。
漏えい・紛失のシチュエーションは無数にあって、設定を間違えてユーザの個人情報をWebで後悔してしまった。機密情報満載のノートパソコンを電車の中に忘れてきた。などがある。
対策としては、情報を取り扱う手順を定めること。
重要情報やノートパソコンは会社からの持ち出しを禁止したり、どうしても持ち出す場合は上司の許可を得るようにするなど。
仕事に必要なもの以上の情報にアクセスできないようにするアクセス権の設定なども、漏えいや紛失の対策としてはいい。
自分が扱える情報が必要最低限ならば、仮に漏えいしてしまう事態になっても、情報漏えいによる被害を抑える事ができる。
スマホの扱いにも注意が必要だ。今時はスマホでなんでもできるようになっている分、コンピュータ以上にスマホには情報が詰まっている場合もある。
スマホを落としてしまうことは非常に危ういよね。
内部犯
会社の一員としていろいろな情報をアクセスできることを悪用して、その情報を売って利益を上げたり会社に被害をもたらしたりする人、これを内部犯と呼ぶんだ。
内部犯のリスクは防ぎようがないってのが厄介なところだよ。
内部犯を入れないようにするために社員を入社させないなんてことはできないし、内部犯を絶対に見極められる方法なんてないんだ。
アクセス権のコントロールが対策としては一番有力だね。
必要以上に情報を一人の社員が触れられる状況にしない方法になる。
これくらいしか内部犯に有効な対策は今のところないよ。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、高い情報技術・知識を悪用する職業的犯罪者(クラッカ)がよく用いる方法で、上司を装った電話でパスコードを聞き出すなどの手法だよ。
人の勘違いや心理的手法によって騙す。
パスワードを肩越しに盗み見たりするショルダーハッキングなんかもこのソーシャルエンジニアリングに該当する。
ゴミ箱をあさって言うような情報を手にいれるスキャベンリングもソーシャルエンジニアリングの一つだ。
対策は日頃の何気ない行動や気の緩みから情報が漏れる恐れがあるから、根本的な改善手法はあんまりない。
横から見づらくなるフィルムを貼ったり、紙を捨てる時はシュレッターを徹底するなどの方法くらいしかないね。
パスワードの取り扱い
パスワードによって情報を不正利用される例は多い。
簡単すぎるパスワードだったり、使いまわしているパスワードなんかは特に危ない。
ちなみに4桁の数字のパスワードとかなら、コンピュータを使えば7秒で解読できてしまうんだ。
パスワードの取り扱いの対策は割と簡単で、長くて数字や文字を使ったパスワードに限定する。推測しにくい意味のないパスワードにする。人に知られたと思ったら変更する。などがある。
ドキッとしちゃいました。私かなりパスワードに甘かったです…
危ないねー、パスワードはとにかく複雑にしたほうがいい
あ!パスワードを忘れないようにはしないとダメだよ!
難しくしすぎて自分でもわからなくなったら本末転倒だから。
あ、あの、数字のパスワード4桁なら7秒で解けるって本当ですか?
本当だよ!
たこにはそのやり方についても話しているからそっちが気になる場合はその時の話を読んでみて。
物理的リスクの対策
昔からあるリスクというのも怖い。シンプルかつ古典的な方法や災害といった防ぎようのないリスクだね。
泥棒
情報を盗まれると聞いて一番最初にイメージしやすいのが泥棒でしょう。
会社が閉まっている時に入り込んで、金庫のお金を盗んだりパソコンを盗んだり、記憶媒体の大容量小型化が進んでいる昨今では会社の全データを1日で一人で盗み出すこともできちゃう。
対策は警備員を立てたり、きちんとした識別と認証を行う入室管理だ。
カードキーがないと入れない会社というのも多いと思う。
これはまさに泥棒というリスクを対策しているんだ。
また会社に乗り込んで悪さをする奴を撃退する方法にもなるね。
災害・破壊
自然災害による施設の破壊やデータの破損は防ぎようがなく、また起こることは確定だがいつ起こるかはわからない。
そんな災害からの対策は、データのバックアップだ。
しかもただデータのバックアップをするのではなく、バックアップしたデータを遠隔地に置くというものになる。
例えば東京に本社があるなら、バックアップしたデータは大阪に置いておくといった感じ。
データだけでなく、社員を分散させておくのも重要で1拠点だけだと災害リスクに対応できていないことになる。
銀行を複数と契約して銀行口座を分けるのも災害の対策としては有効だ。
まとめ
今回はセキュリティ対策第一弾、人的リスクと物理的リスクについて紹介してきたわけだけど
どうだったかな?
セキュリティっていうとパソコンでカタカタやる攻撃から守るって感じだと思っていましたが、意外と簡単かつ身近なところに攻撃チャンスがあるって知って気を引き締めようと思いました!
ぼ、ぼくはし、心配性なところがあるので今回紹介された内容で深く学びになりました。
セキュリティ対策大事ですね。
うん。誰でも攻撃されうる例が今回だった。資格としても重要な知識だけど、それ以上に日常生活でも重要な知識だから問題を解きつつ自分の生活も見直してみて!
次回は技術力を使った攻撃を具体的に紹介していくよ。
じゃあ今回はここまで!また次回!!
はい!ありがとうございました!!
