ITパスポートの世界⑤:テクノロジ系〜リスクとセキュリティ〜
今回は、前回に続き「テクノロジ系」の内容を扱っていきます。
それでは早速、詳しく見ていきましょう。
【テクノロジ系】脅威と脆弱性
情報セキュリティ
情報資産を守ること=情報に関するリスクに対して安全を確保することを指します。
情報セキュリティを脅かすものを脅威といい、人的脅威、技術的脅威、物理的脅威の
3つの脅威があります。
人的脅威
直接人間が関わって引き起こされる脅威で、例えば社員が誤操作でデータを消す、 コンピュータに不正アクセスするなどがあります。
ネットワークに繋がれたシステムに不正侵入し、 システムを改ざんなどすることをクラッキングといいます。
ソーシャルエンジニアリングという人間の心理的な隙を利用して情報を手に入れる人的脅威の代表的なものにはショルダーハッキング・トラッシングなどがあります。
技術的脅威
マルウェア(悪意あるソフトウェアの総称)などの技術的脅威も忘れてはいけない脅威の一つです。
ボット(コンピュータを外部から遠隔操作するためのコンピュータウイルス)、スパイウェア (知らないうちにPCにインストールされ、 個人情報などを盗むコンピュータウイルス。SpyとSoftwareの 造語)、ランサムウェア (PCなどを強制的にロックし、元の状態に戻すことと引き換えに金銭を要求するソフトウェア。勝手にデータが暗号化され正常にアクセスできなくなる)などが代表的です。
他にはトロイの木馬、RAT、ワームなども有名です。
マルウェアの対策として、セキュリティソフトを使用する・OSやソフトウェアのアップデートを定期的に行う・ダウンロードは信頼できるサイトから行う・パスワードは複雑なものを設定するなどがあります。
最近ではフィッシングや総当たり攻撃なども身近な技術的脅威として知られてきています。
物理的脅威
施設や機器が物理的に破損したり妨害されたりして損害を受けることを指します。
例えば大雨が原因で機器が停止するなど、災害、停電、盗難、破壊を原因とした脅威です。
【テクノロジ系】リスクマネジメント
リスクマネジメント
企業にあるリスク(危険)を事前に取り除く経営管理手法のこと。
リスクマネジメントが必要な理由として、 企業を経営する上で不利益になるリスクを事前に回避・ または最小限に抑える目的があります。
個人情報の漏えいや食品への異物混入など、企業には色々なリスクが存在します。
<リスクマネジメントのプロセス>
<プロセスの事例>
リスクの対応策
①リスク回避
システムの運用方法や構成を変更してリスクを取り除くこと
②リスク低減
リスクの発生する可能性や損害を下げること
③リスク移転
リスクを他者へ移すこと
④リスク受容
ある程度のリスクの影響は認めようとすること
【ITパスポート】学習のまとめ
ここまでで、ITパスポートの概要を複数回にわたって解説しました。
ストラテジ系、マネジメント系、テクノロジ系、いずれも密接に関わり合っている内容なので、関連付けて考えてみるようにしましょう。
出てきた用語を最低限覚えれば、基礎の学習も少ししやすくなるはずです。
しっかり予習し、実際の得点に繋げていきましょう!