コンピュータセキュリティの四方山話とセキュリティを理解するために知っておいた方がいいかもしれない用語集
(2008年8月7日)
四方山話(001)
Adobe Readerの更新について
2008年7月2日にAdobe Reader9がアドビのホームページからダウンロードできるようになりました。住基ネットのニュースはPDFという形式で保存されているため、これを読むためにはAdobe
Reader(Acrobat Reader)が必要です。しかし、残念なことに、このPDF形式のファイルに最近ウィルスが仕掛けられることが多いらしいのです。このウィルスの仕組みに関してはここには書きませんがこのホームページを閲覧している人には是非、アップデートをして欲しいと考えています。今のところこの最新版のAdobe
Readerはウィルスに感染したPDFファイルを開いてもパソコンを感染させる危険はないと思われます。
ここから更新(アップデート)の要領を書きます。
まず、Adobe Reader(Acrobat Reader)をWindowsの「プログラムの追加と削除」を使って削除する。念のためにその後、再起動する。
次に、「最新バージョンのAdobe Readerのダウンロード」のページから現在使用されているWindowsのバージョンに適応した「Adobe Reader 9」日本語版をダウンロードします。
モジュールの名前は"AdbeRdr90ja_JP.exe"でサイズは33Mバイトです。
これを保存して、AdbeRdr90ja_JP.exeをダブルクリックして、インストールを始めます。その後は特に設定を変更せずにインストールを進めます。
終わると再起動をするようにいわれますので、コンピュータを再起動します。
再起動の後、Adobe Readerを起動します。
規約を承認するようにいわれますが納得されたら承認してください。
これで特に問題なく使えるようになります。
Adobe Readerを利用される皆さんは時々「ヘルプ」から「アップデートの有無をチェック」を使ってアップデートをしてください。
インターネットを利用される皆様、危険なウィルスは至る所に存在していますので、くれぐれも油断されませんように。
用語集
コンピュータリテラシー
コンピュータをはじめとするIT技術を使いこなす能力のこと。
コンピュータリテラシーは、日常生活でコンピュータを利用して課題を解決するための基礎的な知識や技能の集合である。コンピュータの基礎的な動作原理や特性、適用場面の理解や、キーボードやマウスなど機器の扱い方、文字入力や基本的な操作方法、データや情報の処理方法などが含まれる。
ちなみにここに書かれている文書の意味を理解する能力を含むかもしれない。
情報セキュリティ
情報セキュリティとは、組織が保有している情報資産内の脆弱性が脅威により攻撃を受けた場合に、損失が発生するのを防ぐ仕組みです。
これだけではよく分からん(作者)
情報資産
情報資産とは、組織がその価値を認識していて、何らかの保護を必要としているシステム全体の構成要素、またはその一部です。
これもまるきり分からん。(作者) 例を見ると何となく分かるかもしれないが要するにありとあらゆるものだな
例
情報、データ
顧客情報、経理情報、商品情報、その他
ハードウェア
コンピュータ、サーバ、プリンタ、その他
ソフトウェア
OS、アプリケーションソフトウェア、処理プログラム、その他
通信設備
電話、導線、ファイバ、その他
書類
契約書、誓約書、規定書、その他
施設・設備
社屋、電源、空調、サーバルーム、その他
要員
正社員、派遣社員、契約社員、顧客、その他
商品・製造物
開発成果物、商品、その他
サービス
情報提供サービス、計算処理サービス、その他
組織イメージ
企業イメージ、ブランドイメージ、評判、信用、その他
脅威
脅威とは、情報資産や組織に損失や損害をもたらす不測事態の潜在的な要因です。脅威は、環境的脅威と人為的脅威に分類されます。人為的脅威はさらに意図的脅威と偶発的脅威に分類されます。
環境的脅威
環境的脅威である地震や、火災、洪水、落雷は情報システムが設置されている建物や設備に直接被害を及ぼします。
これは金とやる気さえあれば対策できると思う。この対策ができないのは担当者がとても気の毒だ。(作者)
偶発的脅威
偶発的脅威である入力ミスやデータ削除、設定エラーは、情報システムのデータを破壊したり、不正な侵入を行う不正侵入者を容易に侵入させることを誘発し、思わぬ被害を発生させます。
これはとても頭が痛い問題だがそれこそコンピュータリテラシーの問題だったりする。(作者)
意図的脅威
意図的脅威である盗聴や改ざん、不正アクセス、コンピュータウイルスなどは情報システムに侵入し、データを破壊したり、改ざんするなどの行為を行います。
国が大丈夫だといっているのはこの対策のことだ。(作者)ただしこれも国が管理している部分だけだ。
脆弱性
脆弱性とは、脅威を引き起こす原因となる事象のことです。情報システムにおける脆弱性とは、脅威の発生を誘引する情報資産固有の弱点や、セキュリティホールのことです。
脆弱性の例を挙げようと思ったのだが、適当なものをまだ思いついていない。セキュリティホールなら山ほどあるのだが(作者)
セキュリティホール
ソフトウェアの設計ミスなどによって生じた、システムのセキュリティ上の弱点。
インターネットに公開されているサーバは誰でもアクセスできるため、セキュリティホールを放置しておくと、悪意のあるユーザに不正にコンピュータを操作されてしまう可能性があります。
攻撃を受けると、外部のユーザが本来実行できない操作が可能になるため、Webサーバで公開されている情報が改ざんされたり、機密データが漏洩したり、他のコンピュータへ不正アクセスするための踏み台に利用されたりします。
セキュティパッチ
ソフトウェアに保安上の弱点(セキュリティホール)が発覚した時に配布される修正プログラム。通常はインターネットや雑誌の付録CD-ROMなどを通じて無償で配布される。
WindowsOSのメーカーである、マイクロソフト社は、毎月、第2水曜日にセキュリティパッチをWindowsUpdateを通じて、配布している。
セキュリティパッチは、ソフトウェア内でセキュリティホールの原因となっているファイルを、問題のないファイルに置き換える。同時期に複数のセキュリティホールが発覚したり、同じファイルに複数のセキュリティホールが存在していた場合は、1つのセキュリティパッチが複数のセキュリティホールを修正することもある。
大規模なソフトウェアでは、発売から長期間が経過すると多数のセキュリティホールが発見されるため、セキュリティパッチの数も膨大になる。このため、こうしたソフトウェアのメーカーは、多くのセキュリティパッチを順次インストールする手間を省くために、定期的に多数のセキュリティパッチを1つのプログラムにまとめて配布している。
Windowsではほとんど毎月のようにセキュリティホールが見つかる。世界中の大半のコンピュータユーザが使っているのに大変なことだ。(作者)住基ネットのコンピュータもこれだからおよそ信頼できない。
セキュリティポリシー
企業全体の情報セキュリティに関する基本方針。広義には、セキュリティ対策基準や個別具体的な実施手順などを含む。どの情報を誰が読み取れるようにするか、どの操作を誰に対して許可するか、どのデータを暗号化するかなど、情報の目的外利用や外部からの侵入、機密漏洩などを防止するための方針を定めたもの。コンピュータウイルス感染によるデータやシステムの破壊や、トラブルによる情報システムの停止、データの喪失などに対してどう対処していくか、といった項目まで含める場合もある。セキュリティポリシーを策定し公開することにより、責任の所在が明らかになり、判断基準や実施すべき対策が明確になる。社員のセキュリティに対する意識が向上したり、対外的なイメージや信頼性が向上するといったメリットもあります。
ファイアーウォール
ファイアーウォールはセキュリティのレベルが異なるネットワークの間に設置します。例えばインターネットと庁内LANの間や、庁内LANと住基ネットの間などです。
ファイアーウォールの仕組みはIPネットワークの仕組みと直接関係があります。IPネットワークでは送信されるデータの頭に相手のコンピュータを表す番号(アドレス)とデータを処理するソフトウエアの番号(ポート番号)が送信方、受信方それぞれ記録されています。ファイアーウォールは、あらかじめ設定されているアドレスやポート番号および、通信の向きに応じて、通信を許可するかどうかを決定します。この際には、データの中身がどのような物であっても一切関知しません。したがって、通信の内容がコンピュータへの攻撃であろうとウィルスであろうとまたアプリケーションの脆弱性を利用したワームであろうと許可された通信に紛れていれば検知しません。これらはIDSの仕事です。したがってファイアーウォールが設置されていてもコンピュータはセキュリティパッチ当てをする必要があるし、またアンチウィルスソフトが必要になります。
最近ではデータの中身を調べるファイアーウォールがあります。
リスクアセスメント
リスクアセスメントには主に2つの手法がある。
@ベースラインアプローチ
あらかじめ一定の確保すべきセキュリティレベルを設定し、実装するのに必要な対策を選択し、対象となるシステムに一律に適用する。
Aリスク評価アプローチ
システムや組織にどのようなリスクが存在するか洗い出し、リスクに対する対策を評価し、決定すること。ただし、セキュリティの専門家でないと実行は難しく、またかなりの工数を要する。
トップページへ戻る