リスクを回避!情報セキュリティ基本のキ
スマートフォンやタブレット端末市場が飛躍的に拡大し、今や、インターネットは私たちの生活になくてはならないものになっています。インターネットが普及して便利になった反面、サイバー攻撃による情報漏えいといったリスクも増大しています。インターネットに潜むセキュリティリスクについて解説します。
インターネットに潜む4つのリスク
インターネットの利用目的も、ホームページ閲覧や情報検索、電子メールに限らず、ネットショッピングやオンラインバンキングなどの電子商取引にも広がっています。また、近年は、インターネットに繋がるスマートフォンでWebサイトや専用のスマートフォンアプリなどで閲覧・利用ができるソーシャルネットワーキングサービス「SNS (Social Networking Service)」が普及しています。
SNSは人と人との社会的な繋がりを維持・促進する様々な機能を提供する会員制のオンラインサービスです。人間のコミュニケーションを取りやすくする手段や場を提供し、趣味や嗜好、居住地域、出身校などの人と人との共通点や繋がりを通じて新たな人間関係を構築する場を提供できるサービスです。
一方、機密情報を扱う電子商取引において、クレジットカード番号の不正使用やデータ改ざん、なりすましなどの重大な被害を与える犯罪が増加しています。また、SNSの利用により個人情報が漏洩し、個人が被害を受ける犯罪も増加しています。インターネットを利用する際には、様々なリスクが存在することを把握しておく必要があります。
4つのリスクとは
盗聴
インターネットへは誰でも自由に接続できるため、ネットワークに流れるデータは、第三者に盗み見られる可能性があります。情報の送信元と送信先以外の第三者により、情報を盗み見られることを「盗聴」といいます。ショッピングサイトやSNSサイトで個人情報をやり取りする際には、住所やクレジットカード番号などが盗聴される危険性があります。また、企業間でやり取りされる重要な電子メールなども盗聴される危険性があります。そして、これらの情報が盗聴されると、さらにその盗み出された情報が悪用され、改ざんやなりすましといった犯罪に結びつく可能性があります。
なりすまし
「なりすまし」とは、ユーザーの個人情報などを本人の同意なしに入手し、その人のふりをしてネットワーク上で活動することです。例えば、クレジットカード番号やID、パスワードなどの顧客情報を盗用し、その人のふりをして高額なショッピングをしたり、金融機関の口座から預金を引き落としたりして悪意ある行為をすることです。
改ざん
インターネット上でやり取りされるデータを不正に改ざんし、電子商取引の信頼性を脅かす犯罪が増えています。「改ざん」とは、データの送信元と送信先以外の第三者によって、データの内容を書き換えられてしまうことです。例えば、ショッピングサイトで商品の注文数が書き換えられ、10個の注文を100個注文したことにされてしまうことなどがあります。
否認
「否認」とは、自分の行ったことを否定する行為です。インターネット上でメールを送信した事実や、電子商取引における契約内容や契約した事実そのものを否定する行為です。電子データは削除や改ざんが容易なため、この特徴を逆手に取って、実際には注文したものを後になって注文していないと言い張ることができます。
例えば、「私以外の誰かが注文したのだ、私は注文していない」、「私が注文したのは1000個であり、誰かが注文データを改ざんして“0”を1つ付け加えたのだ」と主張して自分の行った取引を否定するもので、注文内容が間違いなくWebサイト経由で送られたという保証がないと対処のしようがありません。
このように、電子メールやブラウザなどを使って通信される情報は、多くのサーバーを経由し、様々な通信経路をたどって届けられます。そのため、ある程度の技術をもった人であれば、サーバー上に保存されている情報や通信経路上を流れている情報を、誰にも知られずに盗聴や改ざんすることが可能です。
リスクを回避する方法
盗聴には暗号化で対応
盗聴されても第三者には内容が分からないように、情報の「秘匿性(機密性)」を保つ手段が必要です。情報を「暗号化」することによって、たとえ盗聴されたとしても、情報の中身の解読を防ぐことができます。
なりすましには電子署名で対応
インターネット経由の通信では、相手が本物かを確認する「認証」の手段が必要になります。手紙における署名のように、「電子署名」の機能を用いることで、その人が誰であるかを証明できます。
改ざんには電子署名で対応
改ざんに対応するには、受け取った情報が、相手の送った情報と同一か(「完全性」)を確認する手段が必要となります。「電子署名」の機能を用いることで、情報が変更されていないことを証明できます。
否認には電子署名で対応
否認を防止するには、データの送信者を特定できること(「認証」)と、データが変更されていないこと(「完全性」)を確認する手段が必要となります。「電子署名」の機能を用いることで、「認証」と「完全性」の機能を実現できます。
まとめ
私たちはインターネットで提供されている様々なサービスを生活のあらゆる場面で利用しています。それらのサービスはとても便利な反面、インターネットには様々な脅威が潜んでいます。サービスを提供する側の企業や組織にとっても、インターネット上の脅威に立ち向かうための情報セキュリティ対策は、いまや重要な経営課題のひとつです。
情報セキュリティ対策には、組織全体の基本方針の策定や、適切な投資が必要であり、組織幹部の意志決定が欠かせません。組織幹部には、自分たちの組織にはどのような情報資産があり、どのようなリスクがあるかを把握した上で、自ら率先して情報セキュリティ対策の指揮を執ることが求められます。
情報セキュリティマネジメントについてお悩みの方は、450社以上のコンサルティング実績がある日本レコードマネジメントへお気軽にお問い合わせくださいませ。