導入
情報システムのセキュリティには多くのリスクがあり、それは年々進化しています。
「サイバー犯罪」とも呼ばれるコンピュータ犯罪という用語は、コンピュータ システムに対するさまざまな攻撃を誤って定義しており、ほとんどの攻撃は犯罪ではなく軽罪として分類されています。この用語は、ハッカーをテロリストと見なす同じ人々によって、FUD としてよく使用されます。
リスク測定
これらのリスクは、発生の確率や頻度に基づいて測定するだけでなく、起こり得る影響を測定することによっても測定することが重要です。これらの影響は、状況と発生時期に応じて、無視できる程度の影響もあれば、壊滅的な影響をもたらす可能性もあります。進行中のコンピュータ処理が失敗する場合があります。原因が再発する恐れがある場合は、別の方法でコンピュータを再起動するだけで十分です。場合によっては、インシデントが障害となって作業を続行する前に、修復または修正を実行する必要があります。しかし、これらの同じ出来事が、さらに不幸な結果をもたらす可能性があります。
- データが回復不能に失われるか変更され、使用できなくなる。
- データや処理が永久に利用できなくなり、生産やサービスの停止につながる可能性があります。
- 競合企業に利益をもたらしたり、企業のイメージを損なう可能性のある機密情報や誤った情報の開示。
- 物理的な事故を引き起こしたり、人的悲劇を引き起こしたりする可能性のある行為の誘発。
処理と大量の交換が一般化する時代では、たとえば、大規模な停電や数時間にわたるインターネットネットワークの飽和など、重大なイベントが及ぼす影響は容易に想像できます。
これらの例外的なケースとは別に、多くのリスクが予想され、それらのほとんどには解決策があります。例として、2000 年の直前に講じられた予防措置を挙げることができます。これにより、たとえリスクの現実が時々 (そして今でも) 物議を醸したとしても、深刻な不都合は回避できたかもしれません。
各組織だけでなく、各ユーザーも、組織が実行するリスクと実装できる合理的な保護を大まかに評価することにあらゆる関心を持っています。専門家の世界では、リスクと予防手段は主にコストを理由に評価されます。たとえば、工場の生産が 1 日停止するような故障が発生した場合、それを防ぐためにその日の生産額の一部に等しい金額を割り当てるのが当然であることは明らかです。このような故障の確率と頻度が高いため、この割合はさらに重要になります。
人的リスク
人的リスクは、ほとんどの場合無視されたり、最小限に抑えられたりする場合でも、最も重要です。これらはユーザーだけでなく、IT プロフェッショナル自身にも関係します。
- 不器用さ: 他の活動と同様に、人間は間違いを犯します。そのため、意図しない処理を実行したり、意図せずにデータやプログラムを消去したりすることが多かれ少なかれ頻繁に発生します。
- 無認識と無知: IT ツールのユーザーの多くは、使用しているシステムにもたらすリスクを依然として認識していない、または無知であり、知らず知らずのうちに悪意のあるプログラムを導入してしまうことがよくあります。不注意な操作 (ソフトウェアと物理の両方) もよくあります。
- Malice : 近年、メディアがウイルスやワームのさまざまな問題について語ることができるようになったため、今日では、上記のリスクを知らないふりをすることはほとんど考えられません (たとえ広めることによって誤解される傾向があるとしても)。原因と問題点について)。したがって、特定のユーザーは、さまざまな理由から、意図的にウイルスを導入したり (たとえば、ラップトップを会社のネットワークに接続したり)、データベースに意図的に悪い情報を入れたりすることによって、情報システムを自発的に危険にさらす可能性があります。同様に、コンピュータ科学者が、直接または共犯者の助けを借りて、自分の利益のために情報や資金を流用できるようにするための隠された機能を意図的に追加することは比較的簡単です。
- ソーシャル エンジニアリング: ソーシャルエンジニアリングは、他の目的 (広告など) に悪用する目的で、通常は取得を許可されていない個人から機密情報を取得する方法です。これは、あなたではない誰か (通常は管理者) になりすまして、何らかの口実 (ネットワークの問題、変更、深夜など) を考え出して個人情報 (ログイン名、パスワード、機密データなど) を要求することで構成されます。簡単な電話、電子メール、または直接現地に赴いて行うことができます。
- スパイ行為: スパイ行為、特に産業スパイは、競合する活動、製造プロセス、現在のプロジェクト、将来の製品、価格設定方針、顧客および見込み客などに関する情報を入手するために、同じ手段および他の多くの手段 (影響力) を使用します。
- パスワード ハイジャック: システム管理者またはネットワーク管理者は、管理パスワードを変更してシステムまたはネットワークを制御できるようにすることができます。 (テリー・チャイルズのケースを参照)。
知識工学型のアプローチでは、人的資本は企業の無形資本の 3 つの構成要素の 1 つと見なされます。
技術的なリスク
技術的リスクとは、すべてのハードウェアおよびソフトウェア システムが経験する避けられない欠陥や故障に関連するリスクのことです。これらのインシデントは、製造中に行われる注意や、コンピューターやプログラムが使用開始される前に実行されるテストに応じて、多かれ少なかれ頻繁に発生することは明らかです。ただし、故障には間接的な原因、または非常に間接的な原因がある場合があるため、予測が困難です。
- ハードウェア関連のインシデント:プロセッサーによる実行エラーの可能性をほとんど無視できる場合 (それでも、インテル Pentium プロセッサーの最初の世代の 1 つには、特定の状況で計算エラーが発生する可能性がある有名な例外がありました) 、大量生産されるほとんどの電子部品には欠陥があり、いつかは故障する可能性があります。これらの障害の中には、断続的またはまれに発生するため、検出することが非常に困難なものもあります。
- ソフトウェア関連のインシデント: これが最も頻繁に発生します。オペレーティング システムとプログラムの複雑さが増すにつれ、数十人、数百人、場合によっては数千人のプログラマーの共同作業が必要になります。個人的にまたは集団的に、最適な作業方法や最適な制御ツールやテスト ツールによっても完全には排除できないエラーが必然的に発生します。コンピュータの全体的または部分的な制御を可能にする欠陥は定期的に公開され、SecurityFocus や Secunia などのサイトにリストされます。一部の脆弱性は、作成者によってすぐに修正されません (Secunia の「パッチが適用されていない脆弱性」の最新リストを参照してください)。一部のプログラムはインターネットと通信するように設計されているため、ファイアウォール (Web ブラウザなど) で完全にブロックすることは望ましくありません。
- 環境事故: 電子機械や通信ネットワークは、電界や磁界だけでなく、温度や湿度の変化 (特に火災や洪水の場合) にも敏感です。異常な気候条件や電気設備、特に工業用設備 (場合によってはコンピューター自体) の影響により、コンピューターが永続的または断続的な故障に見舞われることは珍しくありません。
これを防ぐために、私たちは通常、時には高価ではありますが、次のような単純な手段に頼ります。
- 機器の冗長性: 機器の故障の確率または頻度は、非常に低い数値(0 ~ 1、10 -nの形式で表されます) で表されます。機器を 2 倍または 3 倍 (またはそれ以上) にすることで、総リスクを同時故障の確率で割ります。したがって、結果ははるかに低い数値になります。言い換えれば、全体の信頼性がはるかに高くなります(これにより、主なリスクが他の場所に移されることがほとんどです)。
- 現場の分散 : 事故 (火災、嵐、地震、攻撃など) が、離れた複数の場所で同時に発生する可能性はほとんどありません。
- 独立した監視プログラムまたは手順: これらにより、壊滅的な影響が生じる前に異常を検出できることがよくあります。
法的リスク
Web 経由でコンピュータ アプリケーションを開き、電子メッセージが増加すると、情報技術の使用に関連する法的リスクが増大します。特に次のものが挙げられます。
- デジタル署名に関連する法律への違反、
- 情報資産の保護に関するリスク、
- プライバシーに関する法律の違反、
- 民法における適用条件が慣習法とは異なる証拠法に関する法規定の不遵守、およびアーカイブ文書の不適切な管理。