サラミ型コンピュータ犯罪(情報セキュリティ上の脅威)
問 題 《情報セキュリティアドミニストレータ午後対策》
第6章 コンピュータ犯罪(2)サラミ型コンピュータ犯罪
http://www.shijokyo.or.jp/LINK/report/rinri/chap6.htm
を読んで下記問いに答えよ。
(1)サラミ型コンピュータ犯罪の具体例を一つ挙げよ。
(2)サラミ型コンピュータ犯罪を防止するために、どのような対策
が考えられるか。
(3)感想・調べたこと
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)サラミ型コンピュータ犯罪の具体例を一つ挙げよ。
今回は、サラミ法を取り上げましたが、サラミ法が特に重要である
ということではありません。
午前問題に出題される可能性があることと、情報セキュリティにはさまざまな脅威が
あるということを認識して頂きたいために取り上げてみました。
それでは、まずサラミ法について復習しておきましょう。
◇サラミ法 とは。。。
多数の資源からわずかずつ資源を搾取する方法で、
例えば金融システムの利息計算プログラムなどが標的となります。
一件当たりの被害が少ないので発見されにくいという特徴があります。
>顧客の預金利子を計算するプログラムで端数処理を四捨五入ではなく
>すべて切り捨て計算とし、剰余の利息を自分名義の口座に自動振込す
>るプログラムも付け加えて巨額の不正入金を得た。
>銀行員が顧客の預金利子を計算するプログラムで端数処理を四捨五入
>ではなく、すべて切り捨て計算でプログラミングし、剰余の利息は自
>分名義の口座に自動振込するプログラムを付け加えた。
(2)サラミ型コンピュータ犯罪を防止するために、どのような対策
が考えられるか。
>その運用に過誤はないか。そうしたシステム監査の徹底化が唯一の対策。
システム監査とは、システム監査基準によると、
「監査対象から独立かつ客観的立場のシステム監査人が情報システ
ムを総合的に点検及び評価し、組織体の長に助言及び勧告すると
ともにフォローアップする一連の活動」
と定義されています。
システム監査の3要素は、
・信頼性…情報システムの品質並びに障害の発生、影響範囲及び回
復の度合
・安全性…情報システムの自然災害、不正アクセス及び破壊行為か
らの保護の度合
・効率性…情報システムの資源の活用及び費用対効果の度合
です。
>・プログラムおよびシステムの運用に過誤や不正がないかどうかの監査
>
>この他直接的ではないが、
>・情報処理関連技術者の技術教育や人間形成の課程におけるコンピュ
> ータ倫理教育の検討
>・抑止力としての適正な法の確立と運用、被害への救済策の樹立など
いい切り口です。
情報セキュリティ対策ときたら、人的(管理的)、技術的(論理的)、物理的及び環境的対策
の観点から考えるという思考ができてきましたね。
監査のほかに人的(管理的)セキュリティの観点から、情報セキュリティ教育、罰則規定
について挙げて頂きました。
(3)感想・調べたこと
>見つけることができませんでした。
脅威について調べてみようという姿勢がいいですね。
情報セキュリティを脅かす脅威はいろいろあります。その脅威の特徴を把握し、
脅威の発生率を下げたり、脆弱性をなくすためにどうすればよいか
考えていくようにしましょう
>内部の人間の行動を見抜くのはなかなか難しい問題だと思います。
>システムの運用や仕様のチェックのために、システム監査が必要なの
>かが、やっと分かった気がします。今まで正直システム監査という役
>割がわからなかったので、今回の課題で役割が明確に理解できてとて
>もよかったです。
今回、システム監査についても触れることができてよかったです。
システムが正しく意図しているように動作しているかというのは、
「信頼性」の観点になります。
>「内部からの脅威」のひとつということになると思いますが、こうし
>たものに対する対策というのは本当に難しいと実感します。自分が組
>んだプログラムのバグの発見でさえも難しいと思われるところ、他人
>が作成したプログラムについて、バグあるいは意図的に隠された不正
>などを見抜くのは大変なことで、非常に技術力を要するし、見つけき
>れないということも多々あろうと思われます。ISMSにおける提携約款
>の遵守ということとも結びついてくるでしょうか。
>守る側の立場としては、発見の端緒を逃さずつかむために、日常のシ
>ステム運用とデータの監視という部分の重要性が改めて問われると思いました。
最近は、情報セキュリティ事件についてニュースで取り上げられるようになりましたが、
「情報セキュリティを維持、管理していくことは非常に難しいことである」という認識が
まだ薄いように感じられます。
ファイアウォール、ウイルス対策ソフトを導入していれば、対策が取られていると
考えている人がまだたくさんいます。
情報セキュリティアドミニストレータを目指すあなたは、セキュリティ事件から、
情報セキュリティを維持、管理していくことは並大抵のことではない。
ということを学んでいます。
ぜひとも組織に情報セキュリティ重要性を説いていってください。
sponsored link
このページ
のTOPへ
