2 セキュリティヘの脅威
ここでは、セキュリティを保つための条件を整理するとともに、情報システムや組織に与える被害、その被害に結びつくセキュリティ侵害の形態について分析・整理した。
(1)セキュリティ確保の条件
セキュリティを確保するための条件として、主に次の3項目がある。
・機密性(Confidentiality) : インターネット上の情報を不適切な人間には絶対に見せないようにすること
・完全性(Integrity) : インターネット上の情報が常に完全な形で保たれ、不正によって改ざんされたり破壊されたりしないこと
・可用性(Availability) : インターネット内に保存されている情報やインターネットの資源(通信路やコンピュータ)がいつでも使えること
これらの要件を満たすためには、システムの「信頼性」が維持されている必要がある。また、セキュリティを「情報システムの機密性・完全性・可用性を確保すること」と捉えると、セキュリティ被害は、これら機密性・完全性・可用性を喪失することにより被害を受けることとなる。
次に、インターネットを介して電子商取引などが普及してくるに従い、特定の相手と取引を行う際、その相手が本人であることを確認したり、相手が発注、送金等の商取引行為を認めたことを確認したりすることが重要になってきた。このような事項が確認できることを「証拠性」をもつという。特に、金銭のやりとりを行う場合や、個人情報を提供する場合には、この「証拠性」を必ず満たす必要がある。
(2)セキュリティヘの脅威と被害
セキュリティ侵害の形態はいくつか種類があり、様々なセキュリティヘの被害をもたらす。ここでは、その対応関係を明確にし、どのような方法でセキュリティが侵害されたときに、具体的にどのような被害を受けるのかを説明した。
例えば、なりすまし、ポートスキャン攻撃、コンピュータ・ウイルスは、組織内ネットワークのセキュリティ・ホールを見つける行為、あるいはセキュリティ・ホールそのものを作ってしまう行為で、不正アクセスをするための準備行為といえる。侵入を許せば、組織内のデータは、外部者によって正規のユーザのように自由に扱われてしまう。
