情報処理安全確保支援士 - SE娘の剣 -

情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

カテゴリ:19.マンガでわかるセキュリティ > 2 脅威

どんなものにもリスクはつきものですが、仕事をしていると、受注を取ったり、積極的な営業活動をするにはどんどん攻める必要があります。でも、リスクには大きく2種類あります。2種類のリスクについて解説します。

f:id:mamori_yuto:20181025075708p:plain

f:id:mamori_yuto:20181025075716p:plain

f:id:mamori_yuto:20181025075731p:plain

f:id:mamori_yuto:20181025075738p:plain

リスクには、投機的リスクと純粋リスクがあります。投機的リスクの代表例は、株や先行投資です。企業は、新商品の開発に莫大なお金を先行投資することがありますが、これは、その投資が無駄になるリスクもありますが、大きなリターンとなって返ってくる可能性もあります。
後者の代表が事故やセキュリティです。どれだけ注意を払ったり、対策に投資やしても、お金を儲けるなどのリターンはありません。
情報セキュリティはリスクしかない純粋リスクです。大きなリターンはなく、何も事故がおこらなければ、「ほっ」とするだけです。しかも、マンガにあるように、絶対に守れる確証はありません。セキュリティ対策は、つくづく難しいと感じるのです。

セキュリティの脅威と言っても、非常に多岐にわたります。これらの脅威は、大きく3つにわけられます。3つの脅威について、マンガにて解説します。

f:id:mamori_yuto:20181025075547p:plain

 

f:id:mamori_yuto:20181025075557p:plain


  f:id:mamori_yuto:20181025075607p:plain

f:id:mamori_yuto:20181025075616p:plain



このように、脅威は①物理的脅威、②技術的脅威、③人的脅威、に分けられます。
詳しくは以下を参照してください。
http://sc.seeeko.com/archives/3824796.html 

「うちの会社には取られる情報が無い」という理由で、セキュリティ対策は不要と考える方がいらっしゃるようです。
仮に、個人情報や企業秘密などの取られる情報が全くなかったとしたら、本当にセキュリティ対策は不要なのでしょうか。
そんなことはありませんよ。マンガでは、なぜセキュリティ対策が必要なのか、具体的な事例で解説します。
うちの会社には取られる情報がないから、セキュリティ対策は不要って本当?:マンガでわかるセキュリティ1  うちの会社には取られる情報がないから、セキュリティ対策は不要って本当?:マンガでわかるセキュリティ2
うちの会社には取られる情報がないから、セキュリティ対策は不要って本当?:マンガでわかるセキュリティ3
遠隔操作事件に関しては、テレビのニュースで耳にした人もいたと思います。
この事件は、真犯人が,善意の人のパソコンにマルウェアを仕込んだ上で遠隔操作し,掲示板などに殺人予告や爆破予告をしました。
なかには、爆破予告された飛行機が引き返す事態にまでなり,大きな問題になりました。このように、あなたのパソコンがウイルス感染をすることにより、誰から不正に操作される可能性があります。
遠隔操作をされると、掲示板への悪意のある書き込みをしたり、大規模なDDoS攻撃という犯罪に加担してしまったりする可能性もあります。
被害を受けた側から、損害賠償を請求される可能性もあります。

さらに、遠隔操作事件での被害者のように、警察に呼ばれて拘留され、場合によってはやってもないことを「やりました」と自供しているかもしれません。
そして、冤罪のまま刑務所に入ってしまう可能性だってあるのです。これは本当に怖いことです。
だからというわけではありませんが、セキュリティ対策は必要ですよね!

うちの会社には取られる情報がないから、セキュリティ対策は不要って本当?  の記事にて、どんな会社でもセキュリティ対策が必要であることをお伝えしました。
もう一点、別の観点からお話します。取られる情報が無いというのは本当でしょうか?御社には、たとえば従業員の個人情報はないのでしょうか・・・。取られる情報がない1 続きを読む

セキュリティの事故が起こると、いろいろな人が被害に遭います。情報システムの担当者も、被害者だったりする?
情報システムの担当者も被害者?1
  情報システムの担当者も被害者?2
情報システムの担当者も被害者?3
多くの企業では、セキュリティ確保は情報システム担当者に任されています。
ですが、セキュリティ対策に関する十分な予算や権限を与えられないことがほとんどです。
または、セキュリティが不十分なシステムが、前任の担当者から続いている場合があります。つまり、彼らができるセキュリティ対策には限界があります。
ですから、セキュリティ事故が起きても、情報システムの担当者だけに責任があるわけではありません。
しかし、「なんで、セキュリティ対策をしていなかったんだ」「今すぐ原因究明をしろ」「対策も」「そして報告書」と集中攻撃にあいます。
精神的なものだけならず、物理的な作業がともないますから、肉体的な疲労も蓄積します・・・・・・。本当に大変です。

だからというわけではないのですが、セキュリティ事故がおきないように、しっかりと対策をしたいものです。

企業のシステムやパソコンは、ファイアウォールを始め、高いセキュリティで守られています。
外部から内部への通信は、全て拒否されます。この状態で、パソコンが乗っ取られることなんて、果たしてあるのでしょうか?
マンガでわかるセキュリティ:パソコンが乗っ取られることなんてあるの?1 マンガでわかるセキュリティ:パソコンが乗っ取られることなんてあるの?2
マンガでわかるセキュリティ:パソコンが乗っ取られることなんてあるの?3
 セキュリティ対策をしているので、乗っ取られないと思われている人は多いと思います。しかも、高度な対策をしている企業ほど、そう思うものです。しかし、ニュースで聞く標的型攻撃というのは、大企業や官公庁もたくさんの被害にあっています。当然、高度なセキュリティ対策をしています。でも、この漫画にある方法でPCが乗っ取られて遠隔操作されるのです。
 ここにありますように、攻撃者が行う通信は、皆さんが日頃行うWeb閲覧のHTTP(またはHTTPS)という仕組みの上で行われます。何か特別な通信が発生するわけではありませんので、これらの攻撃を止めたり、それを検知するのは、簡単ではありません。攻撃者は本当に巧みだなあと思います。


最後はユウトが変なことを言いましたが、PCのWebカメラが乗っ取られて、盗撮されている可能性だって十分にあります。実際、そのような事件は起こっています。注意が必要ですね。

コンピュータに悪さをするものとして、皆さんにとっては、ウイルスという言葉がなじみ深いことでしょう。
TVのニュースでも、「コンピュータウイルス」という言葉をよく耳にします。
それ以外にも、マルウェア、ワームだったり、スパイウェアなど、色々な言葉を耳にします。ここでは、特にウイルスの言葉について解説します。 

f:id:mamori_yuto:20180827092322p:plain

==== 

f:id:mamori_yuto:20180827092338p:plain

 

f:id:mamori_yuto:20180827092350p:plain

f:id:mamori_yuto:20180827092359p:plain


マンガでも説明しましたが、ウイルスと細菌が別ものなのと同様に、コンピュータの世界でも、その挙動によって、ウイルスだったり、ワームだったり、スパイウェアなどと、言葉が分かれています。

マンガで紹介したウイルスやワーム以外には、トロイの木馬というものがあります。
トロイの木馬は、ギリシャ神話に由来します。木馬の中に兵士が入って敵地に侵入して戦争に勝利するのです。コンピュータにおけるトロイの木馬も、一見するとただのファイルですが、実は不正なプログラムというものです。

これ以外にも、スパイウェア、ボット、あとで紹介するランサムウェア、アドウェアなど、たくさんの種類があります。

このように、悪意のあるウイルスなどの種類が増えてきましたし、それらの仕組みが多様化して線引きが難しくなってきました。そこで、IPA(情報処理推進機構)などを中心に、ウイルスではなくマルウェアという言葉を使うようになっています。
以下も参照ください。
http://sc.seeeko.com/archives/cat_125413.html


スポンサードリンク

↑このページのトップヘ