## 情報システム概論（第13回1/7） * 出席者 中村翠輝 高根愛実 和田智禎 前田知志 江頭涼弥 毛利愛芽 川口綾花 田中圭伴 小黒普喜 塩屋園雪凜 --- ### 情報セキュリティ・ネットワークセキュリティとは 各自で情報セキュリティ・ネットワークセキュリティに関わる概念について調べ学習をする（各項目のうしろに担当者の名前をカッコ付きで記入。引用したWebページはそれぞれの項目の終わりなどに示す） **情報セキュリティに関わる用語(JIS Q 27001)** * リスク (risk) （前田知志） リスク (英: risk)とは、将来のいずれかの時において何か悪い事象が起こる可能性をいう。この概念をベースとして、金融学や工学、あるいはリスクマネジメントの理論の中で派生的にバリエーションのある定義づけがなされている。ISOは「特定の脅威が資産の脆弱性を悪用し、それによって組織に害を及ぼす可能性のこと。これは、イベントの発生確率とその結果の組み合わせの観点から測定される。」と定義している。 https://ja.wikipedia.org/wiki/%E3%83%AA%E3%82%B9%E3%82%AF * 脆弱性 (vulnerability)　（毛利愛芽） 脆弱性とは、セキュリティホールとも呼ばれている、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生する、サイバーセキュリティ上の欠陥のことです。脆弱性が残された状態でコンピュータを使用していると、ウイルスに感染したり、不正にアクセスされ、他のコンピュータを攻撃するための踏み台に利用されたり、ホームページが改ざんされたり、ウイルスの発信源になってしまったりするなど攻撃者に悪用されてしまう危険性があります。 脆弱性が発見されると、ソフトウェアを開発したメーカーが更新プログラムを作成して提供します。しかし、脆弱性は完全に対策を施すことが困難で、次々に新たな脆弱性が発見されているのが現状です。 また、近年ではゼロデイ攻撃と呼ばれる脅威が増加しています。ゼロデイ攻撃とは、OSやソフトウェアの脆弱性が発見された際に、メーカーが更新プログラムを提供する前に、その脆弱性を利用して行われる攻撃のことです。脆弱性が公開されてから、メーカーが更新プログラムを作成することも多いため、完全な対策は困難です。 引用：総務省、脆弱性とは？ https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/risk/11/ * 脅威 (threat)　（塩屋園雪凜） 　情報セキュリティにおける「脅威」とは、情報システムやデータに対して損害を与える可能性がある外部要因を指す。例えば、サイバー攻撃、物理的な破壊、内部による不正行為などが脅威として挙げられる。脅威には、悪意を持った攻撃者による意図的脅威、ヒューマンエラーなどの偶発的脅威、自然災害や地理的条件による環境的脅威などに分類される。 参考：https://product.sct.co.jp/blog/security/information-security-risk-threats-and-vulnerabilities * 情報セキュリティインシデント(information security incident)（川口綾花） 情報セキュリティインシデントとは、情報システムやネットワークにおいて、セキュリティの3要素である『機密性』『完全性』『可用性』が侵される事態を指す。具体的には、不正アクセス、データ漏洩、マルウェア感染、サービス停止などが発生してしまうことである。 JIS Q 27000:2019（情報セキュリティマネジメントシステムに関する日本工業規格）では、インシデントを「望まない単独若しくは一連の情報セキュリティ事象、または予期しない単独若しくは一連の情報セキュリティ事象」と定義している。 〈発生原因〉 ・外的要因…外部からのサイバー攻撃によるもの。企業の情報システムやネットワークの脆弱性を狙って行われる。 Ex）マルウェア感染、ランサムウェア攻撃、DDoS（分散型サービス妨害）攻撃、不正アクセス（ID・パスワードの漏洩による侵入）、フィッシング詐欺や標的型メール攻撃 ・内的要因…社内のヒューマンエラーや管理体制の不備によるもの。 Ex）メールやファイルの誤送信、USBやノートPCの紛失・置き忘れ、画面の覗き見や離席中のログイン放置、内部関係者による情報持ち出しや改ざん ・その他、環境要因…地震・台風・火災・落雷による機器故障、外部サービス（クラウド、通信、電力など）の停止、機器の盗難やオフィスの不正侵入 〈情報セキュリティインシデントの発生時の対策〉 ①初期対応(検知・通報・封じ込め) ②復旧・原因調査 ③再発防止・教育 〈参考文献〉 セキュリティインシデントとは？対策や原因を解説　　GMO https://gmo-cybersecurity.com/column/incident/security-incident/ 情報セキュリティインシデントの定義や発生時の対応とは　WARC　AGENT https://agent.warc.jp/articles/al2ec2zuc * * 情報セキュリティ事象（） * リスク対応 (risk treatment)　（江頭涼弥） リスクアセスメントによって明らかになったリスクに対し、その影響を許容できる範囲まで下げるために具体的な策を講じるプロセスのことを指す。一般的に、リスク対応は、「リスク低減」「リスク移転」「リスク回避」「リスク保有」の4つの手法に分類される。リスク低減とは、情報漏洩などの発生確率を下げたり、被害を最小限に抑えたりする対策のことであり、セキュリティソフトの導入や暗号化、サーバールームなどの入退室管理などが挙げられる。リスク移転とは、リスクを他者に肩代わりしてもらう、または分散させることであり、サイバー保険への加入や業務の外部委託が挙げられる。リスク回避とは、リスクの原因となる活動そのものを止めることであり、個人情報を保有しないことや、危険なネットワークへの接続を廃止することが挙げられる。リスク保有とは、対策コストが見合わないなどの理由で、現状のまま受け入れることであり、発生確率が極めて低く、被害も軽微なケースについて、発生した場合の低いリスクをある程度受け入れることも重要になる。さらに、すべての対策を講じても、リスクを完全にゼロにすることは不可能であり、対策後に残るリスクを「残留リスク」と呼ぶ。この残留リスクが、組織が定めた受容可能なリスク水準を下回っているかを確認し、経営層が承認することがセキュリティマネジメントにおいて重要である。 https://secure-navi.jp/blog/000036 https://www.newton-consulting.co.jp/bcmnavi/glossary/residual_risk.html * コンピュータ・セキュリティとは https://ja.wikipedia.org/wiki/コンピュータセキュリティ * 物理的セキュリティ（田中圭伴） 物理的セキュリティとは情報を管理している実体があるものに対して行うセキュリティ対策を指す。 情報の機密性を保つ上で、ネットワークセキュリティやソフトウェアセキュリティと等しく重要な防御方法。物理的な脅威から情報を守るために存在する。物理的な脅威には、機密情報を保存している機器の盗難や長期間使用された機器の経年劣化による故障を含む様々な要因が考えられる。 具体例として、入退室管理システム、監視カメラの導入であったり、サーバールームの施錠やそのカギの管理などが挙げられる。 参考:https://dmji.co.jp/media/what-is-physical-security/ * サーバセキュリティ（中村翠輝） 　サーバーセキュリティーとは、サーバー上に蓄積されたデータやサービスをサイバー攻撃や傷害などから保護し、情報が漏洩・改ざん・消滅しないように対策を施すことを意味する。代表的な脅威として、ランサムウェア攻撃やDDoS攻撃が挙げられる。DDoS攻撃とは、多数のコンピュータからサーバーに過剰なトラフィックを送り付け、サーバーを麻痺させることで、近年では大規模攻撃の増加傾向が指摘されている。サーバーの基本的なセキュリティ対策としては、ファイアウォールを設定し、不要な通信を遮断することや、アクセス管理と認証強化をすることなどが挙げられる。 参考資料 https://kurojica.com/server/blog/7258/, https://ardent.jp/rentoffice-consultation-center/security/soft/server-security/ * ネットワークセキュリティ（高根愛実） ネットワークセキュリティとは、企業や組織のネットワークを外部や内部からの脅威から守るための仕組みや対策全般のことである。近年、コロナ禍やデジタルトランスフォーメーションの推進により、従業員のリモートワーク化やクラウドサービス利用の増加している中で、従来のファイアウォールを基本とした、境界型セキュリティでは防ぎきれない攻撃が増えている。一度サイバー攻撃の被害にあうと、情報漏洩やシステム停止による業務影響だけでなく、取引先や顧客からの信頼喪失、場合によっては法的責任を問われることもあるため、ネットワークセキュリティは、企業の規模を問わず、企業の継続的な成長と社会的信用を守るために着分けて重要な存在である。 有効な対策 ゼロトラストネットワーク：トラストネットワーク（安全なネットワーク）をゼロにするを前提に、すべてのアクセスや通信に対して都度認証や確認を行う仕組み IDS（侵入検知システム）やIPS（侵入防止システム）の導入 https://gmo-cybersecurity.com/column/security-measures/nw-security/ * データセキュリティ（和田智禎） 　データセキュリティとはサイバーセキュリティの1種でデジタルデータに特化したセキュリティ対策のことであり、マルウェア感染や内部不正、サーバーのクラッシュ、ヒューマンエラーなどによるデジタルデータの改ざん、破壊、削除、盗難などのリスクから守る。データの破損や流出は個人、企業ともに大きな損失につながる大問題であり、データの重要度が上がった現代ではデータセキュリティを充実させることは必要不可欠である。具体的にはデータの機密性、可用性、完全性を保つことが重要であり、データの暗号化、アクセス権限の管理、バックアップなどの対策方法があり、これらを組み合わせることによってより強力な対策となる。 https://insights-jp.arcserve.com/data-security