情報セキュリティの基本。 パート1：脅威の種類

仮想サーバーのセキュリティは、直接「情報セキュリティ」と見なすことができます。 多くの人がこのフレーズを聞いたことがありますが、誰もがそれを理解しているわけではありませんか？



「情報セキュリティ」とは、 情報の可用性、整合性、機密性を確保するプロセスです。



「アクセシビリティ」とは、それぞれ情報へのアクセスを提供することを意味します。 「完全性」とは、情報の信頼性と完全性を提供することです。 「機密性」とは、許可されたユーザーのみに情報へのアクセスを提供することを意味します。



仮想サーバーで実行される目標とタスクに基づいて、これらの3つのポイントのそれぞれにさまざまな対策と保護レベルが必要になります。



たとえば、インターネットをサーフィンする手段としてのみ仮想サーバーを使用する場合、セキュリティを確保するために必要な手段の最初に、アンチウイルス保護の使用と、インターネットでの作業時の基本的な安全規則の遵守があります。



別のケースでは、サーバー上に販売Webサイトまたはゲームサーバーがある場合、必要な保護対策は完全に異なります。



セキュリティを確保するための最適な手段を選択するには、考えられる脅威と、これらの脅威が通常悪用する保護の脆弱性を知る必要があります。このため、主要なポイントを検討します。



「脅威」とは、何らかの方法で情報セキュリティに違反する潜在的な機会を指します。 脅威を実装しようとする試みは「攻撃」と呼ばれ、この試みを実装するものは「侵入者」と呼ばれます。 ほとんどの場合、脅威は情報システムの保護における脆弱性の結果です。



現代の情報システムがさらされている最も一般的な脅威を考慮してください。

最大の被害を引き起こす情報セキュリティの脅威

以下では、さまざまな基準に従って脅威の種類を分類することを検討します。

1. 情報セキュリティに対する直接的な脅威：
   
   
   • 在庫状況
   • 誠実さ
   • 守秘義務
2. 脅威の標的となるコンポーネント：
   
   
   
   
   • データ
   • プログラム
   • 装備品
   • 支援インフラ
3. 実装方法により：
   
   
   
   
   • ランダムまたは意図的
   • 天然または人工
4. 脅威の発生源の場所に応じて、次のものがあります。
   
   
   
   
   • 国内
   • 外部

冒頭で述べたように、さまざまな状況での「脅威」の概念は、しばしば異なって解釈されます。 そして、必要なセキュリティ対策は異なります。 たとえば、明らかにオープンな組織の場合、プライバシーの脅威は存在しない可能性があります。すべての情報は公開されていると見なされますが、ほとんどの場合、違法アクセスは重大な危険です。



仮想サーバーに該当する場合、サーバー管理者として考慮する必要がある脅威は、アクセシビリティ、機密性、およびデータの整合性に対する脅威です。 ハードウェアまたはインフラストラクチャコンポーネントに関連しないデータの機密性と整合性を目的とした脅威の可能性については、直接かつ独立して責任を負います。 必要な保護対策の適用を含め、これはあなたの当面の仕事です。



使用するプログラムの脆弱性を狙った脅威。多くの場合、ユーザーとしてのあなたは、これらのプログラムを使用しない場合を除いて影響を受けません。 これらのプログラムの脆弱性を使用した脅威の実装が攻撃者の観点から望ましくない場合、またはユーザーとしてのあなたにとって大きな損失がない場合にのみ、これらのプログラムの使用が許可されます。



機器、インフラストラクチャ、または人為的および自然の脅威を目的とした脅威から必要なセキュリティ対策を提供します。選択したホスティング会社は、サーバーをレンタルします。 この場合、選択に慎重に取り組む必要があります。適切なレベルで正しく選択されたホスティング会社が、ハードウェアおよびインフラストラクチャコンポーネントの信頼性を提供します。



仮想サーバー管理者として、これらの種類の脅威は、ホスティング会社の障害による短期間のアクセスの損失またはサーバーの動作の部分的または完全な停止でさえ、比類のない問題または損失につながる場合にのみ考慮されるべきです。 これはめったに起こりませんが、客観的な理由から、ホスティング会社はアップタ​​イムを100％提供できません。

情報セキュリティに対する直接の脅威

アクセシビリティに対する主要な脅威には

1. 情報システムの内部障害。
2. インフラストラクチャのサポートの失敗。

内部障害の主な原因は次のとおりです。

• 確立された運用ルールの違反（偶発的または意図的）
• ユーザーのランダムまたは意図的なアクションによるシステムの通常の操作の終了（推定数の要求を超える、処理された情報の過剰量など）
• （再）システム構成中のエラー
• マルウェア
• ハードウェアとソフトウェアの障害
• データ破壊
• 機器の破壊または損傷

サポートするインフラストラクチャに関して、次の脅威を考慮することをお勧めします。

• 通信システム、電力供給、水および/または熱供給、空調の仕事（偶発的または意図的）の違反;
• 建物の破壊または損傷;
• サービス担当者および/またはユーザーが義務を果たすことができない、または不本意（市民の不安、輸送事故、テロ行為またはその脅威、ストライキなど）。

整合性に対する主要な脅威

静的整合性に対する脅威と動的整合性に対する脅威に分けることができます。



また、サービス情報と意味のあるデータの整合性に対する脅威に分ける価値があります。 サービス情報とは、アクセス用のパスワード、ローカルネットワーク内のデータ転送ルート、および同様の情報を指します。 ほとんどの場合、ほとんどすべての場合、悪意のある人は気づいているかどうかにかかわらず、組織の従業員は操作モードと保護対策に精通しています。



静的整合性に違反するために、攻撃者は次のことができます。

• 間違ったデータを入力してください
• データを変更する

動的整合性の脅威は、データの並べ替え、盗難、複製、または追加メッセージの導入です。

主なプライバシーの脅威

機密情報は、件名と公式に分けることができます。 サービス情報（ユーザーパスワードなど）は特定のサブジェクトエリアに属していません。情報システムで技術的な役割を果たしますが、サブジェクトを含むすべての情報への不正アクセスに満ちているため、その開示は特に危険です。



情報がコンピューターに保存されている場合、またはコンピューターでの使用を目的とする場合でも、その機密性に対する脅威は、コンピューター以外であり、一般的に技術的でない場合があります。



防御が困難な不快な脅威には、権限の濫用が含まれます。 多くのタイプのシステムでは、特権ユーザー（システム管理者など）は、任意の（暗号化されていない）ファイルの読み取り、任意のユーザーのメールへのアクセスなどを行うことができます。 別の例は、修理中の損傷です。 通常、サービスエンジニアは機器に無制限にアクセスし、ソフトウェア保護メカニズムをバイパスすることができます。



明確にするために、これらのタイプの脅威も図1に概略的に示します。



図 1.情報セキュリティに対する脅威の種類の分類



最適な保護対策を適用するためには、情報セキュリティの脅威だけでなく、起こりうる損害も評価する必要があります。このため、受け入れ可能性の特性を使用します。 これを行うには、金銭またはその他の形式での損害の許容性に関する独自の基準を承認すると便利です。



情報セキュリティの編成を開始するすべての人は、3つの基本的な質問に答える必要があります。

1. 何を保護しますか？
2. 誰から保護するか、どのような種類の脅威が一般的ですか？外部または内部？
3. どのような方法と手段で、どのように保護しますか？

上記のすべてを考慮すると、脅威の関連性、可能性、および重要性を最も完全に評価できます。 すべての必要な情報を評価し、すべての長所と短所を比較検討した後。 最も効果的で最適な保護方法と手段を選択できます。



保護の主な方法と手段、および仮想サーバーに適用される最小および必要なセキュリティ対策は、その主な使用目的と脅威の種類に応じて、「情報セキュリティの基礎」という見出しの下の次の記事で検討します。