DAD (漏洩・変化・破壊) (Disclosure/Alteration/Denial)
DADは、情報セキュリティの基本的な三大脅威を示す概念であり、以下の3つの要素から構成されます。
これらは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)に対する具体的な脅威を指します。
漏洩 (Disclosure)
漏洩は、情報が許可されていない者によってアクセスされることを指します。これは、機密性(Confidentiality)に対する脅威です。
例
不正アクセス: ハッカーがシステムに侵入し、データベースから機密情報を盗み出す。
内部不正: 従業員が業務上の権限を悪用して、会社の秘密情報を外部に持ち出す。
セキュリティ設定のミス: パブリックに公開されるべきでない情報が誤って公開される。
対策
アクセス制御: 必要最小限のアクセス権を付与し、厳格なアクセス制御を実施する。
暗号化: データを暗号化し、万が一漏洩しても内容が解読されないようにする。
監査とログ管理: アクセスログを継続的に監視し、不正なアクセスを早期に検知する。
変化 (Alteration)
定義
変化は、情報が不正に変更されることを指します。これは、完全性(Integrity)に対する脅威です。
例
データ改ざん: 不正なユーザーがデータベースに侵入し、データを変更または削除する。
マルウェア感染: コンピュータウイルスがシステムに侵入し、データを改ざんする。
内部不正: 権限を持つ従業員が意図的にデータを変更する。
対策
ハッシュ関数: データのハッシュ値を計算し、変更がないか定期的に確認する。
ディジタル署名: データにディジタル署名を付与し、改ざんの有無を検証する。
バックアップ: 定期的なバックアップを取り、データが改ざんされた場合に復元できるようにする。
破壊 (Denial)
定義
破壊は、情報やシステムが利用できなくなることを指します。これは、可用性(Availability)に対する脅威です。
例
DDoS攻撃: 分散型サービス拒否攻撃により、ウェブサイトやサービスが過負荷状態になり、利用できなくなる。
ランサムウェア: マルウェアがシステムを感染させ、データを暗号化して使用不能にする。
自然災害: 火災や洪水によるデータセンターの破壊。
対策
冗長化: サーバーやネットワーク機器を冗長化し、障害発生時でもサービスが継続できるようにする。
災害復旧計画(DRP): 災害発生時に迅速にシステムを復旧するための計画を策定し、定期的にテストする。
DDoS対策: 専用のDDoS防御ソリューションを導入し、攻撃を早期に検知・防御する。
DADモデルを理解し、それぞれの脅威に対する具体的な対策を講じることで、情報セキュリティの向上を図ることができます。このモデルは、機密性、完全性、可用性のバランスを保ちながら、包括的なセキュリティ対策を設計するための重要なフレームワークです。
最終更新:2024年05月22日 14:11
