情報処理安全確保支援士

1.1.1 情報セキュリティポリシーのとらえ方

情報セキュリテイーの目的は、情報を保全し安全に企業業務を遂行することにあります。具体的な要素は、機密性,完全性,可用性です。国内の情報セキュリティーマネージメントシステムの基盤であるJIS Q 27001（ISMSにおける認定基準）でも、これを採用しています。
● 機密性
アクセスコントロールとも呼ばれます。
機密性の見落としがちな性質としては
•コンピューターにある情報だけでなく、紙媒体なども含んだ概念であること
•「利用者」にはシステムも含まれる　といった点も押さえておきます。
● 完全性
インテグリティ（Integrity）とも呼ばれている。
● 可用性
•情報セキュリティー6つの指標

1.1.2 攻撃者だけがセキュリティーの敵ではない

情報セキュリティーという言葉は、攻撃者からシステムを保護すると言った意味合いにとられるが、内部犯や機器の故障または自然災害などに対応する点も注意が必要である。

1.1.3 情報セキュリティーはコスト項目である

セキュリティ管理にはコストがかかります。また、直接的なプロフィットを生むものではありません。そのため、導入に際しては社内から強い批判の声が上がる事もあります。利益を生まず、従来の業務手順を変えなければならないとすれば、これはある意味当然の反応であるといえます。したがって、セキュリティー施設の導入に際しては、すべての社員に納得してもらうことが重要です。ISMS認証基準ではこの点を踏まえて、セキュリティーの推進委員会には経営層の参加が必須であると定められています。
● セキュリティーとコストのバランス
近年の企業経営環境では、コスト削減の風潮が高まっています。セキュリティー管理分野においても例外ではありません。したがって、セキュリティーの必要性が高いからと言って、無尽蔵に資産を投入できません。セキュリティー投資とコストにはバランスポイントが生じます。安全にするほどコストがかかる。IT投資はその効果が見えにくいといわれています。セキュリティー分野は特に投資効果が測定しにくい特徴を持っています。IT分野と同様にROI（投資利益率）を算定する動きが高まってきています。

1.2.1 情報資産と脅威

情報セキュリティーを考えるうえで最も重要なのは、守るべき範囲を決定することです。守るべき対象が明確化されていなければ、それを適切に保護していくことは不可能です。したがって、セキュリティー対策を考える上で「自社が持つ情報セキュリティーの中で保護されるべき対象」を洗い出します。これを情報資産といいます。守るべき情報資産が明確になれば、それを脅かすものである「脅威」を明確にすることが出来ます。注意すべき点は、情報資産ごとに脅威が違うことです。例えば、紙に印刷された情報であれば、火災が大きな脅威になります。同じ情報をUSBメモリーで持ち運んでいる場合は、火災よりは紛失・盗難・汚損などが大きな脅威となります。情報資産ごとに脅威が異なることはそれを知るためには、情報資産を完全に把握していなければいけません。そのことから情報資産の洗い出しは重要となります。情報資産を調査・分類することで、それぞれの情報資産が機密性、完全性、可用性の観点からどの程度重要か、どの部署またどの担当者が管理しているか、といったことが把握できます。この段階で利用されるのが情報資産管理台帳です。この作成からセキュリティー対策が実施されます。

1.2.2 脆弱性の存在

少し安心できるのは、ある情報資産に対して脅威があることが、すぐにリスク直結するわけではないことです。例えば、泥棒という脅威がありますが、どの家の対しても泥棒に入るわけではありません。留守がちであってり、施錠がされていないことが多かったり、「留守」「施錠されていない」といった状態が「脆弱性」があるといえます。リスクが顕在化している状態が「脆弱性」。

1.2.3 物理的脆弱性

物理的脆弱性とは、物理的な施策でコントロールが可能な弱点を指します。
物理的脆弱性への対策として、情報システム安全対策基準があります。
● 耐震・耐火構造の不備
情報資産は一般的にデリケートです。光ディスクや光磁気ディスク、磁気ディスクは環境の変化や経年劣化で簡単に破壊されてしまいます。特に火災による加熱や地震の衝撃ではこれらの破壊が生じる可能性が大きくなります。火災では紙の文書の喪失も考えられます。そのため、コンピューターセンターなどでは耐震・耐火構造を取り入れる例が目立っています。サーバールームなどでは可燃物の設置なども厳しく制限されます。また、通常の消化器は情報システムを破壊してしまう可能性があるため、二酸化炭素消化システムの導入も考えられています。しかし、これらの施策はコストがかかるため、メリットとのバランスポイントを見つけることが重要です。
● ファシリティーチェックの不備
社屋には入れる人員を適切にコントロールすることをファシリティーチェックと言います。バイオメトリクス認証も行われます。
● 機器故障対策の不備
機械には寿命があり、利用し続ければいつか故障をします。紙の文書が酸化をして読めなくなるのと同じです。情報機器の場合は故障することで失われる情報量が格段に多いため、醸う分な備えを必要とします。一般的に機器を二重化したり、想定される機器寿命がくる以前に機器を交換するなどのライフサイクルの管理を行います。
● 紛失対策の不備
携帯情報端末には、常に置忘れの危険が付きまといます。近年の携帯情報端末は大容量化が進んでいるため、流失する情報量は、情報の質とともに大きなリスクとなります。また、携帯情報端末内のユーザーIDとパスワードを用いて社内へアクセスされるようなことがあれば、会社全体の情報資産が脅威にさらされることとなります。端末における認証や、保存データの暗号化を行いこの状態を回避します。状況的犯罪予防として「割れ窓理論」。

1.2.4 技術的脆弱性

技術的脆弱性とは、ソフトウェア製品のセキュリティーホール、コンピューターシステムへのウィルス混入、アクセスコントロールの未実施など、システムのアップデートによってコントロールが可能な弱点を指します。ネットワークの常時接続化によって、技術的脆弱性をコントロールすることの重要性が増しています。
● アクセスコントロールの不備
システムを利用する際、パスワードなどによりアクセスがコントロールされていない場合や、パスワードが既知のものである場合は、不適切なユーザーに情報資産をアクセスされる脆弱性が発生します。これは単純に外部からの不正アクセスを許すだけでなく、内部の別部署からのアクセスにもつながります。会社内部といえども、資産へのアクセス権限は部署別で管理ということもあり、内部犯からの情報資産の保護や、事情をよく知らない別部署からのデータ破壊防止等の観点から、適切にアクセス権限をコントロールする必要があります。また、外部犯については、不正アクセス禁止法の施行により、法的罰則根拠が発生しましたが、この法案で保護される対象は、アクセスコントロールが実施されているシステムに限ります。
● コンピューターウィルス対策の不備
コンピューターウィルスは、システムの中に侵入してデータの改ざんや破壊、漏洩を行います。現在、コンピューターウィルスはWebやメールなどの伝達手段により恒常的にシステムにアクセスしてきます。したがって、何らかの形で外界とのアクセス経路が存在するシステムでは、もれなくコンピューターウィルス対策が必要である。アクセス経路には、USBメモリによる感染などのるーとも含まれています。また、ウィルスチェックソフトが導入されていても、そのパターンファイルが更新されていない状態では脆弱性があるといえます。
● セキュリティーホール
OSやアプリケーションソフトウェアの設計上、プログラミング上の瑕疵により、正当な権限を持っていないユーザーでもシステムにアクセス出来たり、任意のプログラムを実行できたりする欠陥をセキュリティーホールという。セキュリティーホールそのものは、脆弱性であり、直接リスクではありません。しかし、セキュリティーホール情報は修正のためにベンダによって公開されるため、攻撃者の知るところとなり、それを利用して不正アクセスが行われるなど、リスクに結びつく可能性が非常に高く脆弱性があるといえます。また、セキュリティーホールはアプリケーションにも存在します。特にワープロや表計算ソフトの効率性を上げるマクロ機能は、その機能の強力さが仇となり攻撃に利用されることが多いです。マクロウィルス。ユーザー側でも不審な拡張子のファイルは警戒しますが、マクロを悪用するケースでは見慣れたファイルのソフトであることも原因となり、心理的な警戒値も低くなる傾向があります。こうしたセキュリティー情報はベンダのホームページなどで細目にチェックする必要があります。
● テストの不備
自社開発したアプリケーションやベンダから購入したアプリケーションは本格導入前にテストを行いますが、テスト項目に不備はあるとセキュリティーホールや、バグを見過ごし、結果として情報資産にリスクを与える要因になります。

1.2.5 人的脆弱性

人的脆弱性とは、内部犯による情報資源の持ち出しや、オペレータの過失によるデータの喪失・誤入力など、人が（多くは内部社員が）介在する弱点です。人材の流動化やシステムの複雑化・分散化、情報のポータビリティー（持ち運びのしやすさ）の拡大など、多くの要因が関連しておりコントロールが難しい分野と言われています。
● 組織管理の不備
情報資産に大きな価値がある場合、金銭などのインセンティブにより内部犯が現れる可能性が高くなります。内部犯は正当なアクセス権限で情報資産にアクセスできるため、発生した場合には非常に発覚しにくく、被害も大きくなる傾向があります。そのため、内部犯は常にセキュリティー上の大きな脆弱性になりえます。人的資源はセキュリティーを構成する要素の最も弱い部分です。内部犯をコントロールするには、従来、情報セキュリティー啓発（教育・訓練ほか）を施してセキュリティー意識を高め、一方で罰則規定を強化する方法がとられてきましたが、社員についても外部の人員と同程度のアクセスコントロールや入退室管理が必要であるといわれ始めている。
● 過失
正当にアクセス権限のあるユーザーが操作ミスなどによってデーターを破壊、喪失させてしまうことがあります。これはある意味で防ぎようのない要因ですが、入力システムの明確化やヘルプ機能の充実などによって防止効果が期待できます。また、手順や入力値に不整合がないかシステム側でチェックを行うフールプルーフ機構の導入も、過失防止に大きな効果があります。作業員の体調や精神状態でも過失の発生度合いは異なってくるので、残業体制のチェックなど組織管理手法も問われることとなります。
• 権限の明確化
特に問題となるのが、システム管理部門とユーザー部門の権限の分離です。システムの運用が軌道に乗ってシステムへの知識が集積されると、互いの職分を犯すケースがあります。システム管理部門はシステムに関わる管理に責任をもち、ユーザー部門は業務に関わる管理に責任を持つというのは大原則です。どれだけ相手の内情が分かったつもりでいても、最終的に別部門の責任を負うことはできません。したがって、手順が煩雑になろうとも、相手の管掌事項（役目の権限によって管轄する業務）については正式に依頼を行ってデータの変更等を実施するのが重要です。その上で、パラメーターの変更などは担当者一人の責任で行うのではなく、上司のダブルチェックを含めた確認プロセスを構築しておくことで、過失による脆弱性を低減することが出来ます。

1.2.6 リスクの顕在化

脅威が存在しても、脆弱性がなければリスクは現実のものとなりません（顕在化しない）。また、脆弱性があっても脅威が存在しなければリスクになりません。脅威と脆弱性が一体化したときに、情報資産に対するリスクが発生する。有効な情報セキュリティーを実施するためにはリスクをきちんと把握する必要があります。リスクを把握するために自社にどのような情報資産、脅威、脆弱性があるかを常に知っておく必要があります。企業、団体各々において情報資産は異なり、コピー戦略が取りにくい側面がある。

1.3.1 物理的脅威

物理的脅威とは、火災、地震、侵入者によって機器の破壊など、直接的に情報資産が破壊される脅威の事を指します。物理的脅威は脅威の種類としては一般的です。また、目に見える脅威であるため、対策しやすいといった特徴があります。古くから情報資産安全対策基準などが定められ、保全に対するガイドラインが標準化されています。
● 物理的脅威の種類と対策
• 火災
防火壁の導入、クリアデスク、サーバールームへの可燃物の持ち込み禁止、スプリンクラー、消火器の設置
• 地震
バックアップサイトの設置、免震構造社屋、データーの遠隔地保存、コンティンジェンシープラン（危機管理計画）の策定
• 落雷・停電
予備電源の確保、避雷針の設置、UPS・CVCFの設置、自家発電装置の導入
• 侵入者による物理的な破壊、盗難
警備員の設置、入退室管理、モバイル機器・書類の施錠管理、情報機器のある部屋の外壁窓の破壊防止
• 過失によるデーター、機器の破壊
バックアップの取得、フールプルーフ設計、一般事務室とサーバールームの分離
• 機器の故障
機器の二重化、予防保守の実施、ライフサイクルの管理

1.3.2 技術的脅威

技術的脅威とは、ソフトウェアのバグや、コンピューターウィルス、不正アクセスなど、論理的に情報が漏洩したり破壊されたりする脅威です。結果的に情報資産が破壊されるという点では、物理的脅威と変わりはありませんが、経路やプロセスが不可視であるため、検知や対策がしにくいという特徴があります。
● 技術的的脅威の種類と対策
• 不正アクセス
正当な権限がないにもかかわらず、コンピューターやネットワーク機器を使用。操作しようとする攻撃です。認証機構や不正侵入検知システム（IDS)を組み込んで防止したり、ログを取得することで事後的に検出できる仕組みで対策します。
• バッファオーバーフロー
利用者に入力を則すフォームなどに不正な（想定より大きな）データーを入力し、バッファからあふれさせることで、システムを誤作動させたり、任意の操作をさせる攻撃です。入力されたデーターを検証する機構を組み込んで対策します。
• パスワード奪取
第三者のパスワードを不正入手することで、システムを悪用しようとする攻撃です。会話に聞き耳を立てる、パスワードがメモされた書類を盗む、パスワードを推測して試行するなどの攻撃方法があります。パスワード作成と運用の厳密化で対応します。
• セッションハイジャック
クライアントとサーバー間の通信セッションを乗っ取る子tで、情報の不正取得やなりすましを行う攻撃手法です。セッションIDのランダム化などで対応します。
• 盗難
ネットワーク上を流れるデーターを第三者が取得して盗み読みすることです。専用線を設置して盗難しにくい通信路を確保することもありますが高コストです。通信する情報を暗号化することで、盗聴されても漏洩しないやり方をするのが一般的です。
• なりすまし
ユーザーIDやパスワードなどで検証を行う情報システムの特性を悪用して、他人のふりをして悪意のある振る舞いや情報の不正取得を行う攻撃です。二要素認証などパスワードを強化する方法や、パスワードに依存しない次世代認証システムを採用するなどで対応します。
• DoS攻撃
大量の通信を送り付けるなどしてコンピューターが満足なサービスを提供できない状態にする攻撃です。1つ1つの通信は問題ないので、ファイアーウォールなどで切り分けにくいのが特徴です。WAFなどで対応します。
• ビーコン、フィッシングなどWebシステムへの攻撃
メールに記載された偽URLなどで不正サイトに誘導する手口等があります。メールソフトの脆弱性をなくしつつ、利用者のリテラシを向上させることが対策になります。
• スクリプト攻撃
• DNSキャッシュポイズニング
• 標的型攻撃
• コンピューターウィルス、マルウェア
• ソフトウェアのバグ

1.3.3 人的脅威

人的脅威とは、ミスによるデーター、機器の破壊や、内部犯による確信的な犯行によって情報資産が漏洩したり失われたりする脅威です。また人間は必ずミスする存在だから、それによって情報資産が破壊されない仕組みの導入も必要である。セキュリティー管理者が意外に見落とす脅威ですが、統計からも、セキュリティー侵害が行われる最も大きな原因の一つが人的なミスです。
● 人的脅威の種類と対策
• 内部犯
正当な権利をたくさん持っている内部者が犯行に及ぶと、大きな被害をもたらします。情報リテラシの向上、継続教育によるセキュリティー意識の醸成、権限分離とアクセス管理などで対策します。正当な対価や報酬も内部犯の減少につながります。
• 人的ミス
ミスも大きな被害を及ぼす要因です。業務手順の明確化・明文化、システムのフールプルーフ機構の導入、チェック機能の充実、人間工学デザインの採用など、ミスを減らす環境整備をします。
• サポタージュ
いわゆるサボりだけでなく、指示されたセキュリティー規則に従わないなどの状況が被害を拡大します。教育によるセキュリティー意識の醸成、罰則規定、経営層による訓示などで対策します。

1.5.1 情報収集と共有しなければいけない背景

マルウェアーや攻撃手法は、常に進化し続けています。理由は情報システムを攻撃することで利益を得るモデルが構築され、お金を儲けるためという動機の実現のためです。一方防御側では受け身であり対処法です。攻撃を予見するのではなく攻撃をされて初めて対応策を考える。対策には多くの人の情報 TLP（TRAFFIC LIGHT PROTOCOL）が必須です。
FIRST（Forum of Incident Response and Security Teams）は、インシデント対応チームによる相互協力を促進するため、インシデント対応の標準化を進めています。その一環として、FIRST加盟組織は特定のテーマについて議論するSIG（Special Interest Groups）を立ち上げ、インシデント対応チーム間の相互協力を促進する基準の開発が奨励されています。このうち、TLP（Traffic Light Protcol） SIGでは、機微な情報の取り扱い基準を示すことで情報の幅広い共有を手助けする、TLPの定義を決定する役割を担っています。TLPとは、情報共有の促進を目的に作られたもので、機密情報を確実に適切な組織または人に共有するために使われる一連の標示です。

1.5.2 脆弱性情報を集めるデータベース

システムにリスクをもたらす脆弱性は、今この瞬間も世界中で発見されていますが、何処かに集めて体系化して、検索できるようにしなければセキュリティー担当者の役に立ちません。そこで、脆弱性情報を集めるデータベースが各地で作られています。
● JVN(Japan Vulnerbility Notes)
日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。
JVN iPediaは、国内外問わず日々公開される脆弱性対策情報を収集、蓄積することを目的とした脆弱性対策情報データベースです。目的の脆弱性対策情報を容易にご利用いただくために、様々な検索機能をご用意しています。
● CVE(Common Vuinerbility and Exposures)
共通脆弱性識別子CVEは、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。　個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。

1.5.3 脆弱性情報の標準化

● CVSS(Common Vulnerability Scoring System)共通脆弱性評価システム
CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。
CVSSでは次の3つの基準で脆弱性を評価します。
(1) 基本評価基準 (Base Metrics)
脆弱性そのものの特性を評価する基準です。情報システムに求められる3つのセキュリティ特性、「機密性（ Confidentiality Impact ）」、「完全性( Integrity Impact ）」、「可用性( Availability Impact ）」に対する影響を、ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値( Base Score )を算出します。この基準による評価結果は固定していて、時間の経過や利用環境の異なりによって変化しません。ベンダーや脆弱性を公表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。
(2) 現状評価基準 (Temporal Metrics)
脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策情報が利用可能であるかといった基準で評価し、CVSS現状値( Temporal Score )を算出します。この基準による評価結果は、脆弱性への対応状況に応じ、時間が経過すると変化します。ベンダーや脆弱性を公表する組織などが、脆弱性の現状を表すために評価する基準です。
(3) 環境評価基準 (Environmental Metrics)
製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、CVSS 環境値 (Environmental Score)を算出します。この基準による評価結果は、脆弱性に対して想定される脅威に応じ、製品利用者毎に変化します。製品利用者が脆弱性への対応を決めるために評価する基準です。
● CWE
脆弱性タイプは、ビュー（View）、カテゴリー（Category）、脆弱性（Weakness）、複合要因（Compound　Element）の4種類に分類されます。現在、ビュー（View）として22個、カテゴリー（Category）として105個、脆弱性（Weakness）として638個、複合要因（Compound　Element）として12個、合計777個の脆弱性タイプが分類され一覧となっています。
(1) ビュー View）ある観点からいくつかの脆弱性タイプを選択して集めたものです。例えば、NISTでは、実際に公表されている脆弱性を考慮し、CWEの中から19個の脆弱性タイプを選択してNVDに掲載しています(CWE Cross Section Mapped into by NVD)。この19個の脆弱性タイプを集めたビュー(View)にCWE-635のCWE識別子が割り当てられています。この他、開発者の観点から脆弱性タイプを集めたビュー(View)にCWE-699、研究者の観点のものにCWE-1000、C言語に起因するものにCWE-658、Java言語に起因するものにCWE-660などが割り当てられています。
(2) カテゴリー (Category）
共通の特性を持つ脆弱性タイプをグループ化したものです。例えば、CWE-310の暗号の問題に関連する脆弱性、CWE-355のユーザインターフェースに関連する脆弱性が該当します。
(3) 脆弱性 (Weakness）
　個々の脆弱性を表したもので、クラス（Class）、ベース（Base）、バリアント（Variant）の属性が付与されています。クラス（Class）は、最も抽象的な脆弱性の属性です。例えば、CWE-362の競合状態の脆弱性が該当します。ベース（Base）は、特定のリソースや技術に依存しない脆弱性の属性です。例えば、CWE-567の共有データへの非同期アクセスの脆弱性が該当します。バリアント（Variant）は、個々のリソースや技術、コンテキストなどが特定できるような脆弱性の属性です。例えば、CWE-488の異なるセッション間で適切にセッションを識別できないことによる情報漏えいの脆弱性が該当します。
(4) 複合要因（Compound　Element）
複数の要因が複合した脆弱性を表したもので、コンポジット（Composite）とチェイン（chain）の属性が付与されています。コンポジット（Composite）は、複数の脆弱性が混合して発生する脆弱性の属性です。例えば、CWE-352のクロスサイト・リクエスト・フォージェリ（CSRF）の脆弱性が該当します。チェイン（chain）は、ある問題が原因で別の問題が連鎖して発生する脆弱性の属性です。例えば、CWE-680の整数オーバーフローの発生によるバッファオーバーフローの脆弱性が該当します。

1.5.4 公開のタイミングとExploitコード

ソフトウェアの脆弱性を悪用した不正な動作を再現するために作成されたスクリプトやプログラムのこと。善意の第三者や製品開発元の間で安全に流通している状況であれば問題ないが、世の中に出回ると攻撃方法の詳細が広く知られることになり、攻撃者によって個人や企業、組織などへの攻撃に悪用される恐れがある。
● ExploitコードとExploit Kit
● J-CSIP

1.7.1 不正アクセス.

不正アクセスとは、本来アクセス権限を持たない者が、サーバーや情報システムの内部へ侵入を行う行為です。その結果、サーバーや情報システムが停止してしまったり、重要情報が漏洩してしまったりと、企業や組織の業務やブランド・イメージなどに大きな影響を及ぼします。
不正アクセス禁止法.
不正アクセス行為の禁止などに関する法律（不正アクセス禁止法）は、インターネットなどの通信回線を通じて管理権限やアクセス権が与えられていない者がIDやパスワードの不正利用や不正搾取を通じてコンピュータなどの電子機器にアクセスした場合に処罰する、と定めた法律です。2000年に施行されました。不正アクセス禁止法では、IDやパスワードの不正使用のみならず、IDやパスワードを知っているものがそれらを第三者に提供したり、利用者になりすましてアクセスしたり、ハッキング行為などのあらゆる攻撃手法を用いて不正にアクセスすることを禁止しています。不正アクセスを行なった場合、3年以下の懲役または１００万円以下の罰金刑に処されます。本法律における、「不正アクセス行為」に該当するものは以下通りです（第二条４の要約）。
● 不正侵入行為.
(１)IDやパスワードなどを入力してログインができるパソコンやサーバ等に対して、権限のないものがインターネットなどを経由して他人のIDパスワードなどを利用して不正侵入できる状態にする行為。これは、情報の閲覧や情報の窃取を行っていなかったとしても、不正侵入できる状態にすること自体が処罰の対象になります。
(２)IDやパスワードなどを入力してログインができるパソコンやサーバ等に対して、ハッキング行為（パソコンやサーバなどの設定不備や脆弱性を狙った攻撃など）を行い、不正侵入できる状態にする行為。これは、情報の閲覧や情報の窃取を行っていなかったとしても、不正侵入できる状態にすること自体が処罰の対象になります。
(３)社内LAN環境などで繋がっているパソコンやサーバを経由して、他のパソコンやサーバに対して不正侵入できる状態にする行為。
● 不正アクセス行為の禁止.
上記以外に不正アクセス行為に該当するものは以下のとおりです。
(１)他人のIDやパスワードの不正な取得（第四条）
不正アクセスを行う目的で、他人のIDやパスワードを取得する行為は禁止です。例えば、社内のファイルサーバなどに保存されているIDやパスワードの一覧表を権限のないものが不正に閲覧したり、持ち出したり、印刷したり等をしてはいけません。
(２)不正アクセスを助長する行為（第五条）.
IDやパスワードを閲覧、持ち出しができる管理権限のある人（システム管理者等）が、管理権限のない人（一般社員など）にIDやパスワードを渡したりする行為は、不正アクセスを助長する行為に該当するため、禁止です。
(３)他人のIDやパスワードなどを不正に保管する行為（第六条）.
不正アクセスを行う目的で、他人のIDやパスワードを保管する行為も禁止です。パソコンの中やUSBメモリなどに不正に取得したIDとパスワードを保管すること自体、処罰の対象となります。紙などに印刷して保存することも禁止です。
(４)IDやパスワードなどの入力を不正に要求する行為（第七条）.
IDやパスワードなどを入力してログインができるパソコンやサーバー等に対して、アクセス管理者になりすましたり、誤認させる行為の禁止。例えば、偽のフィッシングサイトを構築し、インターネット上に公開すること。フィッシングサイトに誘導するために電子メールに添付して送付することで、IDとパスワードを不正に奪おうとする行為は禁止です。
● 不正アクセスの防御措置.
情報システムの管理者は、不正アクセスが起こらないように防御措置を講ずる必要があります。これは努力義務であるため、万が一不正アクセスなどの被害が起こった場合、情報システム管理者が法的に処罰を受けることはありません。例えば以下のような防御措置を講ずる必要があります。
防御措置１. 複雑なパスワードの設定.
簡単に推測され、ログインされるようなパスワードを設定できないようにする。例えば、初回のログイン時にはパスワードを変更できるようにし、そのパスワードは８桁以上大文字、小文字、数字、記号を少なくとも１つ以上を含む設定を施す。
防御措置２. 不要なIDやパスワードを速やかに変更.
退職者などが発生し、その者が利用していたIDやパスワードが不要になった場合、速やかに削除したり、ファイルやフォルダに設定されていたアクセス権限を削除する。
防御措置３. 不要なIDやパスワードの定期的な確認.
不要になったIDやパスワードが残っていないか、テストアカウント等で利用したものが残っていないかを定期的に確認し、残っている場合や速やかに削除する。
防御措置４. IDやパスワードの貼り付け禁止.
IDやパスワードを記載したメモなどをデスクトップやパソコンに貼り付ける行為を禁止する。
● 公安委員会への相談（第九条）.
万が一不正アクセス被害に遭遇した場合、所轄の公安委員会に相談することができます。公安委員会は、不正アクセス事項における調査、分析、対策案の提示、指導を行うことが義務付けられており、的確なアドバイスが期待できます。また、サイバー犯罪などの情報セキュリティー被害は、都道府県警察本部や、各種窓口に相談できます。
• 犯罪に関する相談及び電話による情報提供.
各都道府県のサイバー犯罪相談窓口.
• コンピューターウィルスに感染した場合
IPA情報セキュリティー安心相談窓口.
電話番号：03-5978-7509（現在は新型コロナウィルスによるテレワーク対応のため、電話対応業務は停止している）.
メール：anshin@ipa.go.jp
• 広告や宣伝目的の迷惑メールに困った場合.
財団法人日本データ通信協会迷惑メール相談センター.
電話番号：03-5974-0068
(平日10時~12時、13時~17時）

1.7.2 不正アクセスの方法.

● ネットワークスキャン.
攻撃者は不正アクセスするために、攻撃対象となるコンピューターを特定します。そのための準備行動としてネットワークスキャンが行われます。考えられるあらゆるIPアドレスにping.(おもにネットワークの疎通を確認するために使用されるコマンドです。pingは、ICMP（Internet Control Message Protocol）のechoコマンドを利用して、指定した相手先IPアドレスまたはホスト名）に文字列を送り、その戻りの有無によりネットワークの接続が確認できます。また、応答速度も表示されるため、ネットワークの速度を確認することもできます。)を実施して、相手ノードの存在確認を行うなどの方法が取られます。対策としては、pingに応答しないステルスモードでコンピューターを稼働させたり、外部ネットワークから存在を確認できないプライベートIPアドレスをNAT.(二つのIPネットワークの境界にあるルーターやゲートウェイが、双方のIPアドレスを対応付けて自動的に変換し、データ伝送を中継する技術。)と組み合わせて利用する。
● ポートスキャン.
コンピューターの存在が確認できると、次はコンピューター内部のアプリケーションの動作確認を行います。コンピューター内部で動作しているアプリケーションを特定できれば、そのコンピューターがどのような用途で利用されている、管理者はどの程度のスキルを持っているかなどの情報を得ることが出来ます。稼働しているアプリケーションによっては既知の脆弱性がある場合があります。こういった情報を得るために攻撃者はポートスキャンを実行します。具体的にはTCPの３ウェイハンドシェイクを利用して、すべてのポートに対して接続要求を行います。接続要求に対して返答のあったポートは、解放され外部からの嫡子を受け付けています。もちろんその背後では該当のアプリケーションが動いています。もちろん、攻撃者が効率性を重視して、より空いていそうなポートのみをスキャンしてくることもあり得ます。その対象となりやすいのは、Well-Knownポートに指定され、現在もよく使われているアプリケーションなどです。たとえば、IoT機器などはその管理を受けるためにTelnet.(IPネットワークにおいて、遠隔地にあるサーバーやルーター等を端末から操作する通信プロトコル、またはそのプロトコルを利用するソフトウェアーである。RFC 854で規定されている。)を使うことがあり、その場合はTCP23番ポートが空いています。ここを重点的に攻撃するわけです。IoT機器への攻撃はセキュリティー上の新たな脅威です。IoT機器は処理能力や容量が限られているので、攻撃への対処や予防に大きなリソースを割くことが出来ません。マルウエアー対策が万全といえるシステムは少ないでしょう。ネットワークに接続して使うことが前提ですので、常に脅威にさらされていると認識したほうが良い。
● ポートスキャンの種類.
• TCPスキャン.
標的ポートに接続し、3ウェイハンドシェイクのシーケンスを実行します。通信が確立されるため、ログに残りやすいスキャン方法です。
• SYNスキャン.
完全なTCP接続を行わないスキャン手法で、「ハーフオープンスキャン」や「ステルススキャン」とも呼ばれています。接続するかわりにSYNパケットを標的のポートに送信して、標的ポートからSYN/ACKを受信した場合はサービス稼働が稼働している状態。標的ポートからリセット（RST/ACK）を受信した場合のポートはサービス非可動状態となります。(RSTとは接続を中断・拒否する際に送られるパケットです。)
• FINスキャン.
標的にFINパケット（接続終了）を送信するスキャン手法です。FINパケットが送信されたホストはクローズした全てのポートにRSTを送り返します。よって、RSTが返ったら標的サービスは稼働していると判断できます。• クリスマスツリースキャン.
標的ポートに、FIN、URG（緊急確認）、PUSH（プッシュ）パケットを送信するスキャン手法です。標的サービスが稼働してなければRSTパケットを返しますが、稼働していれば何も返ってきません。
• NULLスキャン.
全てのフラグを”0″にするスキャン手法です。標的サービスが稼働してなければRSTパケットを返しますが、稼働していれば何も返ってきません。
• UDPスキャン.
UDPで待ち受けているサービスの状態を判断するためのスキャンです。標的ポートにUDPパケットを送信し、標的ポートが “ICMP port unreachable” というメッセージで応答したポートがなければ稼動していることがわかります。稼働していない場合は何も返ってきません。
● ポートスキャンの検知と対処方法とは.
ポートスキャンが発生した場合、ファイアーウォールのログを確認すると、短時間に遮断ログが記録されます。インターネットルーターでは、ポートスキャン攻撃として、警告のログを残す場合もあるでしょう。このような場合、意図的にポートスキャンをしていない場合は、対処として、該当の通信元を洗い出し、ファイアーウォールにその通信元からのみの通信を拒否する設定を追加します。なお、IDS/IPSを導入している場合は、通信内容から不審な通信であると判断して検知するので、すぐに対処できますし、WAFを導入すれば遮断することも可能です。
● 対策はポートスキャンから攻撃に進展する前に.
基本的な対策は、不要なポートを閉じることが第一です。そのうえで、判明している脆弱性に対して対策しておくことも大事です。既知の脆弱性に対しては、修正プログラムとしてセキュリティパッチが配布されています。そのためには、まずセキュリティーパッチは確実に適用しておくこと、加えてIDS/IPS、WAFといった製品を導入し、それぞれに適応した脆弱性攻撃に対策しておきましょう。次に、不要なサービスが起動していないか定期的に確認しておきます。定期的に実施するのは、誤操作で不要なサービスを起動してしまう可能性があるためです。確認の方法としては、例えば、サーバー上でnetstatコマンドを実行すると、”Listen”（待ち受け）状態になっているポートを確認することができます。そのポートに対するサービスが不要であればそのサービスを停止しておきます。さらに、そのサービスが自動起動になっている場合があるので、その点も確認します。
● おすすめのポートスキャン対策.
ポートスキャン対策として、ファイアーウォールを設定されている場合が多いと思いますが、さらに「WAF（ワフ/Web Application Firewall）」を導入することで強固な防御体制を築けます。WAFは、Webアプリケーションに対する攻撃に特化したファイアーウォールです。WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティー対策をすることができます。クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティー対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

1.8.1 バッファーオーバーフローとは.

● バッファーオーバーフロー.
プログラムがメモリに書き込もうとするデータ長や領域の終端のチェックを怠ると、あらかじめ確保した領域の端を超えて隣接する別のデータのための領域を溢れたデーター断片で上書きしてしまう。上書きされた領域は本来想定されていない内容に変更されてしまうため、プログラムが異常終了する等の悪影響が及ぶ。ネットワークを通じた外部からの攻撃に悪用できるため、典型的なソフトウェアー脆弱性の一つとして広く知られる。

1.8.2 C言語とバッファーオーバーフロー.

● バッファーオーバーフロー.
例えば「char str[10];」という風に文字列用にバッファを確保し、バッファに文字列を代入したとする。このとき11バイト以上の文字を代入してもC言語の処理系はそのまま代入してしまう。結果、意図しないメモリの書き込みが発生してしまう。また関数呼び出しには「コールスタック」と言う物がある、コールスタックには上限が存在し、関数内部であまりに大きすぎる配列などを宣言した場合、無限回の相互呼び出しなどをすると、これもオーバーフローを引き起こす。このときに最悪リターンアドレスなどを書き換えられると「任意コード実行」がおこなわれる可能性がある。また作成したプログラムを実行したときに「セグメンテーション違反」「Segmentation Fault」となりプログラムが異常終了した場合、十中八九プログラムに致命的なバグが存在することになる。これはメモリに許可されていない動作をした場合に異常終了したことを示す。よって「Segmentation Fault」は絶対に放置してはいけない。

1.8.3 主なバッファーオーバーフロー攻撃.

● スタック攻撃.
スタックベースの攻撃、特にスタックオーバーフローは、現在では古典的な攻撃手法です。マイクロソフトが公表している「Security Intelligence Report Volume 16」によれば、現在はスタックベースの攻撃はほとんど見られない状況ですが、現在の攻撃手法とその防御手法を理解するためには、スタックに対する攻防の理解が欠かせません。メモリーベースの攻撃の多くは、プログラムが読み込むデータ（.doc, .pdf, など）の中に、
（1）脆弱性を使って実行アドレスを変更する部分と、
（2）攻撃のブートストラップとして稼働するシェルコードが埋め込まれます。

スタックに限っただけでも、さまざまな脆弱性悪用手法が存在します。図2は、スタックベースの攻撃手法と、Visual Studio（コンパイラー／リンカー）による攻撃の対策の推移を表したものです。

● ヒープ攻撃.

1.8.4 バッファーオーバーフローへの対策.

● プログラミングによる対策.

1.11.1 盗聴とは.

盗聴とは、ネットワーク上を流れるデーターを取得する行為を指します。盗聴の特徴には特に積極的な攻撃行為を行わなくても、収集できるデーターを集めているだけでほしい情報が得られ可能性がある点にあります。盗聴自体は、そのやり方さえわかってしまえば、それほど高度な技術力がなくても可能です。それだけに確実に基本的な対策を施しておくことが重要です。

1.11.2 スニファー（Sniffer）.

スニファーは盗聴の最も基本的な方法です。ネットワーク上を流れるデーターをキャプチャーして内容を解読します。
パケットのフォーマットはRFC（Request for Comments）などで標準化されている。それはIETF（Internet Engineering Task Force）による技術仕様の保存、公開形式である。内容には特に制限はないが、プロトコルやファイルフォーマットが主に扱われる。RFCとは「コメント募集」を意味する英語の略語であり、もともとは技術仕様を公開し、それについての意見を広く募集してより良いものにしていく観点から始められた。全てのRFCはインターネット上で公開されており、誰でも閲覧することができる。よってパケットの取得が出来ればデータの内容自体は簡単に読み取ることが出来ます。ただし、欲しい情報が必ずしもネットワーク上を流れているとは限りません。ネットワーク管理者は無駄な情報をネットワークに流さないように、ブロードキャストドメインを必要に応じて分割している場合がほとんどです。パケットのキャプチャーにはコンピューターにインストールするソフトウェアタイプのものや専用のハードウェアであるプロトコルアナライザーがありますが、攻撃者はこれらの機器を欲しいパケットが流れるエリアに接続する必要があります。

● スニファーへの対策.
プロトコルアナライザーなどのような機器の接続を許さないためには、適切な入退室管理や情報資産管理台帳の整備が有効です。つまり、取得されて困るパケットが流れるエリアに、不審者の侵入を許さない。しかし、内部犯やウィルスの存在により、１００％の安全は期待できません。例えば、ウィルスによってスニファーソフトがインストールされると、その検出は困難です。なぜかというとスニファーの行為そのものが他の機器に悪影響を及ぼさないためです。この場合はNICがプロミスキャスモードになっていないかを一つ一つチェックしていきます。また、インターネットのようなオープンネットワークでは、他人にデーターを盗聴されるのが当たり前の環境では、暗号化によって対応します。

1.11.3 サイドチャネル攻撃.

暗号を解読するときに、暗号アルゴリズムや暗号鍵と正面から向き合うのではなく、別の側面の事象やデーターを手掛かりに解読をしようとするとする手法の総称です。暗号化や復号を行う機器の消費電力や処理にかかる時間、発する熱や音、エラーメッセージなどから暗号解読に役立つ情報を入手します。特にエラーメッセージは、暗号だけでなく他の攻撃方法でも重視されます。懇切丁寧なエラーメッセージは開発者や利用者にとって使い勝手のよいものですが、攻撃者にも重要な手掛かりを与えてしまうことがあります。

1.11.4 電波傍受.

電波傍受といえば、テンペスト技術（モニタやキーボード，ネットワークケーブルなどから放射されている微弱な電磁波を傍受し解析することで元の情報の再現を試みる技術です。一般に知られている実験では、ブラウン管ディスプレイやケーブルから発生する電磁波を3m離れた地点で傍受して、表示されている画像を再現した例があります。）によるテンペスト攻撃を指すことが多かったが、無線LANの爆発的な普及などにより、無線通信のパケット傍受(コンピュータの情報交換の経路で行われるため、被疑者が接続したすべてのウェブページの接続先と移動経路、およびログイン情報、該当ウェブページに接続した時間と期間、コンピュータの使用時間など、正確な通信事実の確認資料を簡単に得られる。)を指すことが多くなった。
● 電波傍受への対策.
傍受自体を防ぐことはできないので、通信を暗号化するのが常套手段です。無線LANの暗号化方式には
WEP、WPA、WPA2など
WEPを利用するにはアクセスポイントと端末に共通の暗号鍵（WEPキー）を設定する必要がある。40ビットWEPの場合は10桁の16進数（0～9,A～F）か5桁の半角英数字を、104ビットWEPの場合は26桁の16進数か13桁の英数字を入力する。Wi-Fi標準の暗号化システムとして採用され、初期のアクセスポイントや端末で広く利用されたが、2000年代に入ると様々な脆弱性が発見・報告されており、現在では使用を中止すべきとされている。安全性を高めた後継規格としてWPA、WPA2、WPA3などが策定されています。
WEPを使う旧機器が混在している環境で、アクセスポイントがそれに合わせてすべての通信をWEPにしてしまう機能には注意が必要です。また、傍受だけでなく、攻撃者の機器から無線傍受されてしまう可能性にも着目しなければならない。無線LANでは、
ESSID(Extended Service Set Identifier).
無線電波は届く範囲を任意に設定することができないため、複数の電波が届く範囲に端末（子機）がある場合にどれが自分の所属するネットワークか分からなくなる場合がある。このため、無線LANではAP(Access Point)が識別名を発信し、端末が接続先を選択できるようにしている。識別名にはAPのMACアドレスをそのまま流用した48ビットのBSSID（小規模ネットワーク向け）と、管理者が任意に指定できるESSIDは（中規模以上のネットワーク向け）がある。現在では規模に関わらずESSIDを設定して運用するのが一般的であるため、単にSSIDといえばESSIDを指すようになっている。
ESSIDと呼ばれるグループ名を特定できると通信が可能になるため、不正接続対策の最初のステップとして、APからはESSIDを通知しないステルスモードを使ったり、ANY（誰にでも接続できる環境）という特殊なESSIDを使用できない設定を施すなどの方法がある。ほとんどの無線LANは指定したMACアドレス以外からの通信を拒絶する機能を持っているので、これを有効にする。