読み方 : じんてききょうい

人的脅威

人的脅威とは?

情報システムデータに対して、人間の行動や心理的な隙、悪意によって生じるリスクのこと。サイバーセキュリティでは、技術的な欠陥を突く脅威(技術的脅威)や、災害や機器の故障などの物理的な脅威(物理的脅威)と並び、対策が必須とされる主要な分類の一つとされている。
人的脅威のイメージ画像

人的脅威は「意図的なもの」と「非意図的なもの」に大別される。意図的な脅威の例としては、内部の従業員による機密データの持ち出しや改竄、退職者による不正アクセス、外部の攻撃者による情報窃取などがある。内部関係者が関与するものは「内部脅威」(insider threat)とも呼ばれ、外部からの攻撃に比べて対策が難しい。

非意図的な脅威には、操作ミスによるデータの削除や誤送信、弱いパスワードの設定、ウイルスに感染したファイルを誤って開く行為などが含まれる。悪意の有無にかかわらず、結果として情報漏洩やシステム停止を招く可能性があるため、組織運営では同様に重視される。

外部の攻撃者が人間を標的にする手口として、「ソーシャルエンジニアリング」(social engineering)がある。電話や対面で担当者に­なりすまし­て認証情報を聞き出したり、フィッシングメールで利用者を偽サイトに誘導したりする手法が代表的である。どれほど堅固なシステムを構築しても、人間が騙されて認証情報を渡したり、不審な添付ファイルを開いたりすれば防御は無力化される。

対策としては、アクセス権限最小化最小権限の原則)、操作履歴の記録、内部監査といった技術的あるいは管理的統制と併せて、啓発や訓練によるセキュリティ意識の向上が重視される。近年ではリモートワーククラウドサービスの普及により、従業員個人の判断や行動がセキュリティに与える影響が大きくなっており、人的脅威への対策は情報セキュリティ管理の基本項目の一つとなっている。

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。