リスクの種類、最後です。「物理的な脅威」についてお話していきます。

殴られる・・・とかそういうのですか？

いえいえ、情報資産は殴られませんよー。

ＰＣ上にきなこもちを落とす・・みたいなやつですか

きなこもち、粉吹くと大変ですから気をつけてくださいねー。

確かにお二人が言われたのも「物理的」ではあります。これまでのものと違うのは、
脅威は脅威でもサービスを管理しているパソコンやサーバそのものに対する脅威
です。以下のようなものがあります。


災害
地震などの自然災害や落雷・火災などです。バックアップをよく同じ場所に置いておく
人がいますが、遠隔地においておきましょう。同時に被災したら意味ないですからねー。

クラウドっていうのもありますね。

おっ！鋭いですね。それも遠隔地バックアップの一つの手段ですが。別に注意するこ
ともありそうですね。たとえば、信頼に足る「クラウド」サービスかどうか。クラウドサービ
ス利用者同士で情報が漏れることはないか。などです。


破壊・妨害行為
システムに物理的なダメージが加えられるパターンです。

まさしく「殴る」「蹴る」

ジャイアンが歌う・・・

ＰＣ等自体を壊されてしまえば、情報資産も無くなってしまいます。これも考えなければ
ならないことですね。

ということで大きく分けて３つの脅威「人的」「技術的」「物理的」脅威についてお話
してきました。

これらの脅威からどう情報資産を守っていくのか、というのが次回からの話になり
ます。

（つづきます）

人的な脅威を前回は説明しましたが、今回はネットワークなどを通じて外部から
悪意をもったプログラムなどを利用され、情報の流失などを引き起こすものを
「技術的脅威」といいます。今回はそういうお話です。


マルウェア
遠隔地のコンピュータに侵入したり攻撃したりするソフトウェアをいいます。これ
らはコンピュータウイルスやワームやスパイウェアも含まれます。詳しくはまた
後の項でやりますね。

丸○今○の衣装のことかと思いました。

・・・ああ、マルイウエア・・・マルウエア・・・って全然うまくないわ！


フィッシング詐欺
正式なWebサイトを装い、暗証番号やクレジットカード番号などを詐取する

あれですよね。みるきーのやってるやつですよね。

それは釣りでそ。・・・AKBわかんないとわかんないですね。
正確にはAKBじゃないけどさ。


クロスサイトスクリプティング
webサイトに悪意を持ったプログラムなどを忍ばせて、訪問者にそのプログラ
ムを実行させてしまうという脅威

ウイルスに感染しました！とかいうのがドドンと出てくることがありますよね。

そうそう、そういうやつですね。んで、ワクチンです・・・っていうバナーをクリック
させたりして・・・

悪意のあるプログラムを実行させたりする・・・けっこう・・・お得ですね。

いやいや、怖いですから！


DoS攻撃 
大量のデータや不正パケットを送りつけて、相手のサービスを停止させる。

私も暇になると友人に大量のメールを送りつけてます！

それはある意味DOS攻撃・・・

異性だったらストーカー確定ですよね。

（つづきます）

情報処理技術者試験、申し込まれましたでしょうか？
まだまだ・・・と思われている方も、お早めに。

早く申し込んだほうが、受験会場がいい場所・・・のような気がするのは
私の多分、気分的なものだと思うのですが。

さて、私も今回はPM受験しますよ！初の論文試験です。

いちお、今月中に教科書を読み終えて。
２月は午前２・午後１対策。
３月は論文対策。
４月の追い込み！

そんな感じで勉強をしようと思っています。
日々是勉強。日々是精進。

みなさんも、がんばりましょう！わたくしも頑張ります！

リスクにはどのような種類があるでしょうか。というのが今回の話題です。

耐えられるリスクと、そうじゃないリスクです。

リスク・フリスクです。


リスクには「物理的脅威」「人的脅威」「技術的脅威」大きく分けてこの３つが
あります。今日は人的脅威についてお話をしていきましょう。

え？３回もやるの？

ちょっとおおお、聞いてないわよおおお。

すいません・・・ちょっと時間をかけたいところなのです。


人的脅威　
人間によるセキュリティリスクです。これには主にこんなものがあります。

漏洩（ろうえい）
　メールの送信先を間違った、などの過失で情報が流出することをいいます。

あるある・・・違うスレにとんでもないこと書いたこと。

・・・あっちゃ困りますよ。


紛失・盗難
　たとえばUSBメモリを紛失したり、重要書類を盗難されたり・・・。

うーん、ドジっ子！

・・・ドジじゃ済まないっすよ。


破損・誤操作
PCを破損したり、誤操作でデータの消去したり

これもドジっ子！

・・・可愛く言ってもダメですよ。

なりすまし
誰かになりすまして、情報を入手しようという悪い人がいます。

クラッキング
パソコンの脆弱性（セキュリティホールっていいます）などを利用してパソコンに
不正侵入します。

ハッキングとは違うんですか？

ハッキングが技術的な実力を示すためにセキュリティホールを見つけたり・・・と
った割りといい行動なんですけど、それを悪用するとクラッキングになります。
破壊活動とか漏洩を目的にするんですね。

コー・・・フォー！

ダークサイドフォオオオオオオス！

いきなりのスターウオーズは読者はついてこれないと思いますよ。

（つづきます）

さて、そういうわけで情報資産を守るために情報セキュリティ対策を行うんですけど、
なんでもかんでも対策を行えばいいというわけではありません。

え？危ないんなら全部やっちゃったほうがいいじゃないですか？


うーん。情報が漏洩したり、損失が起こる可能性のことを「リスク」といいますが、それが
どこに発生するのか、どのくらいの影響があるのか。また、対策にはいくら掛かるのか。
（費用対効果っていいますね）それをしっかりと見極める必要があります。

なるほど、あまりお金がかかる割に、効果がないものもありますよねえ。


なので、対策を取る優先順位をつけていきます。
場合によってはリスクがあったとしても、あえて黙って受け入れる「リスクの受容（保有）」
というのもあります。影響が小さければ、それも可能ということですね。

防ぎようのないものも、ありますもんね。私が先生に怒られることとか。


それは防ぎようがありますよねー。その他にはこんなリスクマネジメントがあります。


「リスクの軽減」
リスクの可能性を減らしたり、もし発生したときでも被害が小さくするようにする

おならが出たら困るので、ブーブークッションを持って歩く。

・・・被害・・・小さくなってますかね？


「リスクの回避」
リスクを受けないように行動すること

犬に追いかけられないために、犬のいない道を歩いて帰る。

・・・そんなに犬に追いかけられる頻度ありますかね。


「リスクの移転」
保険に入ったり、損失が起こったときのために他者にリスクを移転する

やる前に、最初に謝罪しておきます。

・・・超後ろ向きにみられませんかね？

（つづきます）