今回は、情報セキュリティについて、基礎となる考え方を纏めてみました。情報セキュリティとはデジタル化されたデータを守ることにほかなりません。サイバイー攻撃や情報漏洩が問題になっておりますが、基本はデータを護ることです。データを護るとは、関係者以外の方の以下の４つの行為を防ぐことです。

１）データを見られないようにする。

２）データを持ち出されないようにする。

３）データを消されないようにする。

４）データを書き換えられないようにする。

　これらのことをする為の方法もいくつかに絞られます。一番、一般的な方法が「なりすまし」です。つまり関係者ではない方が、関係者のように振る舞うことです。その為の第一関門として設けられているのが、個人ＩＤと暗証番号です。この二つを護ることが必須となります。四桁の数字暗唱番号ですと１０の４乗の組み合わせですから１００００通りしかありません。従って、コンピュータなどで０００１から繰り返して実行されると直ぐに解かれてしまいます。そこで桁数を増やしたり記号を交えたりして組合せの数を増やしています。加えて、定期的に変更することで、仮に繰り返しトライされているとしても解にたどり着きにくくしています。

　最近、暗唱番号に加えて盛んに使われているのが、指紋、静脈、顔、虹彩などの生体認証です。暗唱番号とは本人確認の為のしくみですので、生体認証にやがては集約されていくと思います。それも、声紋や筆圧なども加えられた複数の生体認証を組み合わせたものになると思われます。最終的には、ＤＮＡを素早く識別できるしくみに変わるのではないでしょうか？

　このなりすましの進化系が携帯端末の同期です。この技術は、ハッカー技術としては初歩的な技術ですので、今お使いの携帯端末が簡単に乗っ取られます。携帯端末が乗っ取られると自分の知らない間に勝手に携帯を操作されるわけですから、家の中の写真をとられたり会話を録音されたりもします。LINEなども簡単にみられますし、意図しない発信もされます。携帯端末からクラウドサービスや銀行決済を行うとその暗唱番号も抜かれます。実は、携帯端末の代表であるスマホには、この同期に対するガード機能が脆弱です。アプリ花盛りですが、アプリは常に「なりすまし」の危険にさらされていると理解してお使い下さい。ガードする方法は、こまめに電源を切ることしかないのですが現実的には難しいでしょう。

　次に考えられるのが悪意のあるプログラムによる汚染です。マルウェアやウィルスと呼ばれているものです。これらのプログラムは、ネットワークを通じて汚染するものとUSBやＣＤＲなどの記録媒体を通じて汚染するものに分かれます。これらのプログラムは、暗唱番号の抜き取りなどの「なりすまし」の為のデータ収集だけでなく、最初にあげました４つのデータに関する不正を行います。特に、怖いのがデータを消すことで「データを消されたくなければ金を支払え」という身代金要求に繋がることが多いです。情報システムが人質にとられます。人の誘拐と同じく、表に出てはいないものの身代金を支払っているケースもあるのではと考えられています。

　記録媒体に含まれる不正プログラムに対する対処方法は、記録媒体を装着できるパソコンなどの端末を特定化するしかありません。全ての市販のパソコンには、標準装備されていますが、セキュリティを重視する場合は、特定のパソコン以外は敢えて使わないようにいているケースが殆どです。特定のパソコンでウィルスチェックをして安全を確かめてから提供されたデータを使うことになります。

　ネットワークから不正プログラムを侵入させようとする行為がサイバー攻撃です。メール添付などの簡単な方法からホームページへの攻撃、インターネット回線に繋がっているシステムへの攻撃などがあります。これらの攻撃は、人が行うのではなく攻撃システムが自動で２４時間攻撃してきます。これらに対処する為には、一般的には非武装地帯と呼ばれるインターネット回線と内部のネットワークの間にセキュリティチェックを行うしくみを構築します。よりセキュリティを重視するシステムでは、インターネット回線に繋がっているシステムのネットワークと対象システムのネットワークを物理的に分離します。以上のようにサイバー攻撃に対しては、どのようにネットワークを構築するかでセキュリティを担保することになります。

　攻撃と防御は、常にイタチごっこのようなものです。従って、セキュリティに関する意識を、システムを使う方全員が認識、共有することが第一歩です。そのご参考にして頂ければ幸いです。

以上