コンピュータセキュリティ


コンピュータセキュリティ


コンピュータセキュリティ(英語: computer security)は、情報セキュリティの一部で、コンピュータシステムを災害、誤用および不正アクセスなどから守ることである。また、ハードウェア、ソフトウェア、データ、ネットワークのいずれについてもその機密性、完全性、可用性を維持することである。

不正な利用とは、第三者による秘密情報へのアクセス、許可されていない操作の実行、ネットを介した詐欺(架空請求、ワンクリック詐欺など)が含まれる。この語は、しばしばコンピュータセキュリティ(安全性)を保つための仕組みや技術を指すために用いられる。

概要

情報セキュリティ自体の歴史はコンピュータ以前にまで遡るが、1940年代のコンピュータ誕生後しばらくすると、いわゆるセンシティブな情報がコンピュータで扱われるようになり、コンピュータセキュリティが重要になった(なお、19世紀末に国勢調査の集計のためにタビュレーティングマシンが誕生したということを考えれば、センシティブな情報を機械が扱った歴史はもっと古い)。インターネットの歴史は1960年代から始まるが、インターネットの20世紀末の普遍的な普及は、コンピュータセキュリティを非常に重要な課題とした。パケット通信、特にインターネットのそれは、電話網のような回線交換のシステムと違い中継点が確定されないため、どこの誰か分からない誰かに盗聴されるかもしれない可能性がある、という欠点をもつ。しかし実際のところ、そういった技術的な面よりも(技術的には、問題があるなら暗号化すればいいだけである。暗号の技術は純粋数理であり、理論的に難しい面はあっても工業技術のように高価な工作機械や稀少元素を必要としたりはしない)、実際的社会的な問題として、悪意のある人間が故意にコンピュータを破壊したり、データを改竄したり、迷惑メールの大量送信、架空請求詐欺のメールによって金銭を騙し取るなどが可能になってしまった、などといった印象によって「セキュリティが重要だ」という印象が作られていった。コンピュータセキュリティとは、このような行為から保安することをいう。

一般にセキュリティと利便性は相反する性質のものである。現在のコンピュータではおもにユーザIDとパスワードによってユーザを認証しているが、セキュリティを確保するために利用者が頻繁にパスワードを入力するようではシステムが使いづらくなってしまう。かといって、パスワードを要求しなければ情報が他人に悪用される可能性がある。暗号を使った通信も同様に、セキュリティを確保しようとすると計算(暗号アルゴリズムの実行)に多くの時間を割き、またメモリ使用量も増える。利便性を減らさずにセキュリティを高める方法(この例の解のひとつとしては、シングルサインオンシステム)を見付けるのがコンピュータ・セキュリティ研究の目標である。

コンピュータ・セキュリティ研究では暗号化方式や認証方式を道具として用い、加えて実装に依存したコンピュータのソフトウエアおよびハードウエアの知識を用いてセキュリティを高める方法を研究する。

従来のコンピュータシステムのほとんどが利便性を優先させたシステムであり、インターネットなどの設計思想が性善説を前提にしていることもあり、セキュリティの改善はむずかしい。また、ソフトウエアが複雑になりすぎたことによって、設計者の意図しなかった場面で不正利用が可能になってしまう場合がある(この脆弱性をセキュリティホールという)。

脆弱性と攻撃の種類

  • バックドア - セキュリティ上の問になりうるソフトウエアの脆弱性、欠陥。バッファオーバーランやクロスサイトスクリプティング、SQLインジェクションなどがある。
  • ゼロデイ攻撃 - プログラム修正ファイルがリリースされる前に攻撃すること。
  • バッファオーバーフロー攻撃 - データの格納領域をはみ出すほどの大容量データを送り付け、サーバ停止など予期せぬ動作を引き起こさせる攻撃。
  • ポートスキャン
  • ダイレクト・アクセス攻撃
  • 盗聴
  • マルチベクトル型攻撃、ポリモルフィック攻撃
  • フィッシング (詐欺)
  • 権限昇格攻撃 (en:Privilege escalation)
  • ソーシャル・エンジニアリング
  • スプーフィング攻撃
  • 改竄
  • サイドチャネル攻撃
  • 辞書攻撃
  • コンピュータウイルス
  • ワーム (コンピュータ)
  • トロイの木馬 (ソフトウェア)
  • スパイウェア
  • ルートキット

防御用のツールやシステム

  • アクセス制御
  • マルウェア対策
  • スパイウェア対策
  • 耐タンパー性能
  • アンチウイルスソフトウェア
  • ファイアウォール
  • 脆弱性検査ツール
  • 侵入検知システム, IDS - ネットワーク上の動作を監視し、侵入や侵入の試みを検知するシステム。
  • chkrootkit - ルートキットがシステムに仕掛けられているかどうかを検査する道具(UNIX系、Linux系のプログラム)。
  • 記録管理
  • サンドボックス
  • ハニーポット - クラッカーを誘い込んでクラッカーの調査をするための道具やコンピュータの設定。
  • ハニーネット - ハニーポットが1台のコンピュータなのに対して、ハニーネットはネットワーク1式をクラッカーを誘い込むために用意する。必ずしも実際のネットワークである必要はなく、仮想コンピュータと仮想ネットワーク上にも作られる。クラッカーからは仮想システムであることが分からない。
  • データログ収集・解析 - サーバやクライアントマシンの挙動のログを収集し、解析する。解析結果を基にした対策・予防のほか、トラブル発生時の原因解明などに活用される。
  • 協調型セキュリティ - セキュリティソフトウエアを組み合わせ、連携させることによって、セキュリティ強度を高める。NECのInfoCageが他者の製品と連携して行っている。

コンピュータシステムの物理的セキュリティの確保

物理的セキュリティ(古来の保安・警備)に該当する対策も、コンピュータセキュリティ上は補完要素として重要である。ここでは保安・警備システムのうちコンピュータに直接関係あるものを列挙する。ICカードや指紋認証等のバイオメトリクス技術が応用されることも多い。

  • 離席ロック機構 - 操作者が端末を離れると(自動的に)ロックされ操作・モニタ不能になるなど。
  • 入出力制限機構 - 各種の補助記憶装置などへのデータ入出力を制限。
  • 筐体管理 - パソコンなどの筐体カバーが開けられたことの検出・警報など。また、ノートパソコンのケンジントンロック管理なども。

このようなコンピュータシステムと、入退室ロックなどのセキュリティ機構をセットとして提供するベンダーもある。

コンピュータセキュリティに関する資格

国家資格
  • 情報処理安全確保支援士(RISS、登録情報セキュリティスペシャリスト) - 情報セキュリティスペシャリスト試験を登録制の名称独占資格に移行した上で2017年(平成29年)に創設された国家資格。
  • 情報処理技術者試験 - 経済産業省所管の独立行政法人である情報処理推進機構(IPA)が実施する国家資格。
    • 情報セキュリティスペシャリスト試験(セキスペ) - 2016年(平成28年)まで実施。情報処理安全確保支援士の前身。
    • テクニカルエンジニア(情報セキュリティ)試験 - 情報セキュリティスペシャリスト試験の前身。2008年(平成20年)まで実施。
    • 情報セキュリティマネジメント試験(セキュマネ) - ITエンジニア側ではなく利用者側の試験。2016年(平成28年)より実施。
    • 情報セキュリティアドミニストレータ試験(情報セキュアド) - 利用者側の試験。2008年(平成20年)まで実施。
    • ネットワークスペシャリスト試験(ネスペ) - 近年はネットワーク・セキュリティ技術に関する出題が多い。
    • システム監査技術者試験
    • ITサービスマネージャ試験
    • 応用情報技術者試験
    • 基本情報技術者試験
    • ITパスポート試験
  • 電気通信主任技術者
  • 技術士情報工学部門(選択科目:情報基盤)
  • 技術士電気電子部門(選択科目:情報通信)
公的資格
  • コンピュータサービス技能評価試験(CS試験)情報セキュリティ部門 - 中央職業能力開発協会が実施する公的検定試験。
民間資格
  • Linux Professional Institute Certification (LPIC)
  • LinuC
  • CompTIA
    • Network+
    • Security+
    • Pentest+
    • Cybersecurity Analyst (CySA+)
    • CompTIA Advanced Security Practitioner (CASP+)
  • Certified Information Systems Security Professional (CISSP)
  • Certified Internet Web Professional (CIW)
  • ISACA公認情報システム監査人 (CISA)、公認情報セキュリティマネージャー (CISM)
  • EC-Council認定ホワイトハッカー (CEH)
  • Global Information Assurance Certification (GIAC)
  • Offensive Security Certified Professional (OSCP)
  • シスコ技術者認定(CCNA、CCNP、CCIE)
  • AWS認定セキュリティ・スペシャリティ
  • ドットコムマスター
  • 全日本情報学習振興協会(全情協)認定資格
    • 企業情報管理士
    • 個人情報保護士
    • 個人情報保護法検定
    • 情報セキュリティ管理士
    • 情報セキュリティ初級認定試験

イベント

  • DEF CON
  • Black Hat Briefings
  • International Conference on Information Systems Security and Privacy
  • Pwn2Own
  • 天府杯(Tianfu Cup) - 中国では、2017年以降からセキュリティ研究者らが海外のハッキングコンテストに参加することを禁止しており、18年11月から中国国内で毎年開催している。

脚注

関連項目

  • 脅威インテリジェンスプラットフォーム、MISP
  • サイバー脅威インテリジェンス
関連組織
  • 内閣サイバーセキュリティセンター ‐ 日本、内閣
  • Department of Defense Cyber Crime Center - アメリカ国防省

外部リンク

  • 内閣サイバーセキュリティセンター(NISC) - 内閣官房、内閣サイバーセキュリティセンター
  • サイバーセキュリティ - デジタル庁
  • 国民のためのサイバーセキュリティサイト - 総務省
  • サイバーセキュリティ政策 - 経済産業省
  • NISC | みんなで使おうサイバーセキュリティ・ポータルサイト - 内閣官房
  • サイバーセキュリティーとは - IBM

Text submitted to CC-BY-SA license. Source: コンピュータセキュリティ by Wikipedia (Historical)


ghbass
 




Owlapps.net - since 2012 - Les chouettes applications du hibou