なんとなくわかる「人的脅威への対策」

2020.08.30

先日まとめさせていただいた情報セキュリティにおける3つの「脅威」について今回は人的脅威に対しての対策について解説していきます。

なんとなくわかる「情報セキュリティの脅威」
情報セキュリティ対策を行う中で考慮すべき人的脅威、技術的脅威、物理的脅威の3つの「脅威」について解説。
kiyoubinnbouse.jp

情報セキュリティの脅威については上の記事でご覧ください。

スポンサーリンク

人的セキュリティ対策

人に対して行うセキュリティ対策でセキュリティに対する意識の徹底や情報資源の重要性についての教育を行ったり、利用者がミスをした場合の対策や攻撃への対策がここに含まれる。

状況的犯罪予防

犯罪の予防方法を検討するための理論です。次のような効果が望めるセキュリティ対策を検討する。

  • 犯行を困難にする
  • 攻撃者が特定できるようにする
  • 被害を縮小する
  • 偶発的に犯罪が起きないようにする

不正のトライアングル

以下の3つの要因が揃ったときに内部不正が発生するものとして対策を講じる方法。

要因要因の解説
機会不正が行える状況。社内の情報資産の管理のずさんさ、セキュリティに対する意識の低さなど
動機不正を行う理由となるもの。金銭面の問題、職場への過度なストレスなど
正当化  不正を正当化する理由づけ。会社のセキュリティなら犯罪がバレないなど

この3つの要因が揃わないように対策していく必要があります。

パスワード管理による対策

パスワードクラックに対してセキュリティ対策を行います。パスワードクラックについては別に記事にまとめましたので参考にしてください。

なんとなくわかる「パスワードクラック」
パスワードクラックの手法は類推攻撃や辞書攻撃、ブルートフォース攻撃など様々な方法が存在し、それぞれに対して対策をしなければパスワードが見破られて情報漏洩につながります。この記事では6つのパスワードクラックの手法と対策についてまとめました。。
kiyoubinnbouse.jp

ロックアウト

パスワードに対してミスできる回数を設定し、それを超えた場合はログイン方法が変わったり管理権限を持つアカウントからのアカウントロックの解除をする。これはブルートフォース攻撃に対して対策することができる

コアパスワード

サイトごとでパスワードを使い回さずに、それでいて長くて複雑なパスワードを設定すること。パスワードリスト攻撃フィッシングに対して対策されている。

アクセス権限による対策

管理者権限のような権限を持ってシステムに対して命令が行えるユーザを特権ユーザといい、そのユーザの持つ権限を特権的アクセス権という。特権ユーザを定めることで一般ユーザが悪意を持ってシステムを変更して混乱を招くことや社内のユーザの削除などをできなくすることができる。

need-to-know

特権ユーザを作成するときに、そのユーザが使う権限のみを与えるようにする考え。必要最低限の権限にしておくことで仮に特権ユーザに不正ログインされたときに全ての権限を与えた特権ユーザが被害を受けたときに比べて被害を縮小することができる。

ログ管理による対策

ログとは情報機器に通信の履歴でネットワークの異常などを時系列の記録する。このログを用いて不正アクセスや攻撃を記録することで攻撃方法や攻撃を受けた原因の究明を行うことができる。

コメント

タイトルとURLをコピーしました