【文系 SE】セキュリティ~脅威一覧~

  • 2020年1月27日
  • 2020年8月27日
  • SE文系
  • 274view

 

こんにちは、こじろうです。

振り込め詐欺やフィッシング詐欺、サイバー犯罪が絶えませんね。(参考記事)
日々、新しいリスクが発生するわけですが、できれば網羅的に理解しておきたいところです。

知りたい!〇〇詐欺とか▲▲詐欺とか、Webでたまたま確認できたものは気を付けられるけど、それ以外については不安…
騙されて高額請求とかされたくないな…

この記事ではIT初心者であろう文系SEの方々でも理解できるよう、ITセキュリティ項目についてできるだけ網羅的にリストアップし、把握できるよう紹介したと思います。

【この記事でわかること】

  1. ITセキュリティ脅威の種類
  2. 具体的な事例と共に紹介
  3. 上記を知ることで期待できること

 

ITセキュリティ脅威の種類

子供の教育と同じで、「人に原因有り」か、「環境に原因有り」かの2種類

  • 人為的脅威

    • 意図的脅威コンピュータウイルス、不正侵入、攻撃、改ざん、なりすまし盗難、盗聴など
    • 偶発的脅威人為的(設定、運用、削除、廃棄、置き忘れ 等)ミス、誤動作装置(PC、ネットワーク、ソフトウェア、電源 等)故障など
  • 環境的脅威

    • 自然、環境地震、洪水、地すべり、落雷停電、火災、静電気、汚染等

巷でITセキュリティやウィルスソフトに関する話題のほとんどは、意図的脅威の項目に関するものです。

更に、これらの脅威は発生する順序で整理することができると考えています。

  1. まず、盗聴
  2. 盗聴で暗号化がされていないデータにたどり着いたら情報を盗難
  3. 盗難による情報が取れたら、不正侵入、もしくは攻撃
  4. 不正侵入ができたら、情報を改ざんもしくはコンピュータウィルス*を注入

*情報を盗難できたら、攻撃対象者をうまくだましてコンピュータウィルスを対象者自身の手で注入させるという手もあります。

次の項で、それぞれの具体邸に触れてみましょう。

具体的な事例と共に紹介

[人為的×意図的]盗聴

盗聴、アカウント情報。但し、暗号化していれば大抵の場合大丈夫。

言ってしまうと、とあるソフトウェア(ネットワークエンジニアの間ではよく使われている、決して違法なものではありません)をPCにインストールしてしまえば、インターネットに接続さえしていれば比較的簡単に実施できてしまいます。言い換えると、皆さんが携帯やPCでやり取りしている電子情報も、簡単に盗聴されてしまう可能背があるということになります。

盗聴自体を防ぐというのは、現時点ではなかなか難しい(物理的にネットワーク構成を工夫する等で実現できます。)のですが、実害を防ぐ方法はあります。

やり取りする情報を、暗号化するのです。(暗号化については別記事で詳細に触れたいと思います。)

そしてほとんどの携帯では、購入時に自動でやり取りする情報を暗号化する設定がなされているため、この盗聴に関してはあまり気にしても仕方がないという面があります。

[人為的×意図的]なりすまし盗難

盗聴されたけど情報が暗号化されているから安心だ。

と思って電車内でクレジットカードで買い物していたら、横の人に番号とパスワードとセキュリティコードを見られてしまい、後ほど勝手に買い物をされてしまう…なんて可能性は十分にあります。(実際、そんな目にあったら警察に届け、犯人が買い物した携帯やPC端末を警察が突き止め、御用になります。ここの詳細についてはまた別記事で書きます。)

これをなりすまし盗難と言います。

盗聴よりも一つレベルが上の脅威です。

上の例では物理的にアカウント情報がバレてしまった例ですが、電子ファイルをメールに添付し、パスワード無しでやり取りし、暗号化無しで盗聴、たまたまアカウントに関する情報が記載されていて被害に遭う、というパターンもあります。

[人為的×意図的]不正侵入、攻撃

一番わかりやすい例は、個人情報の漏洩でしょう。

本来、アカウント情報(ユーザIDとパスワードや認証に必要な情報)を知っている人だけがアクセスできるシステムへ、何らかの方法でアカウント情報を盗み(この行為自体は口述の「なりすまし盗難」に当たります)、勝手にアクセスして秘匿情報を勝手に参照・取り出してばらまく、もしくは脅しに使う、というパターンですね。「スマホを落としただけなのに」で犯人役(成田稜だったかな?)が田中圭の携帯を拾い、アカウント情報を当ててログイン、次々と事件を起こしていく…というストーリーだったわけです。

※以下、更新中

攻撃の種類は、主に以下となります

※以上、更新中

[人為的×意図的]コンピューターウィルス

イラン国内の核燃料施設でウラン濃縮用遠心分離機を破壊する目的のコンピュータウィルスが作成され、おそらく他国のスパイメンバーからUSBメモリ経由で注入。実際に上記機器が故障。

核の利用についてはこの記事の本題とズレますので触れませんが、意図的に、対象のITシステムの機能不戦に陥らせるプログラムが配置され、目的通りに機器は故障したと。

我々の日々の生活に置き換えると、例えば住んでいるマンションのオートロックシステムが、上記のようなコンピューターウィルスへ感染・機能不全に陥ると、マンションドアが空きませんね。家に入れません。非常に困ります。

[人為的×意図的]改ざん

  • 2000年官公庁
  • 情報が改ざんされたらまたすぐ直せばよい、というのは場当たり的な考えで、改ざんできるということは、その会社や組織のシステム全てに犯人はアクセスできてしまう可能性が非常に高いということ。そうなると、改ざんされたホームページはもちろん、その他のシステムも一時的に停止して、重要なデータへ物理的にアクセスできないようにする必要が出てくるわけです。こうなるとウィルスに感染してしまったときと同様、普段利用している便利なシステム・機能が使えないわけです。

 

[人為的×偶発的]人為的ミス

LANケーブルを誰かが足に引っ掛けて外してしまい、その間システムがインターネットにつながらず、ダウンしたように見えた等。

[人為的×偶発的]誤動作装置故障

AmazonのTokyo Region故障。

[環境的×(自然)環境]地震、洪水、地すべり、落雷停電、火災、静電気、汚染など

福島の原子力発電所になります。僕も当日、福島第二原子力発電所にて、原子炉の制御システムの動作確認テストをしていましたが、電源が利用不能になってしまうと、もうどうしようもありませんでした。

 

上記を知ることで期待できること

ウィルス関連のニュースに対して、不必要な不安を感じることがなくなります。
不安に乗じて、全く役に立たないウィルスソフトを売りつけてくる輩もいますしね。

DDos攻撃を理解できた僕の現在

ITコンサルタントとしての現場において、プロジェクト内でセキュリティやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら

文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。

実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。

本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ

 

 

 

それでは、Tchau◎

こじろう

 

※冒頭の画像はacworksさん@イラストACからの提供でした。

最新情報をチェックしよう!
>最強のWordPressテーマ「THE THOR」

最強のWordPressテーマ「THE THOR」

本当にブロガーさんやアフィリエイターさんのためになる日本一のテーマにしたいと思っていますので、些細なことでも気が付いたのであればご報告いただけると幸いです。ご要望も、バグ報告も喜んで承っております!

CTR IMG