情報セキュリティ関連の似ている用語における違いについて

情報セキュリティ

企業や個人の適切な情報セキュリティ体制は、正しい知識を身に付けなければ構築できません。
しかし、情報セキュリティ関連の用語には似ているものが多く、これらが混同してしまうことはよくあります。
今回は、情報セキュリティ関連の似ている用語における違いについて解説します。

情報セキュリティ関連の似ている用語

数ある情報セキュリティ関連用語の中でも、以下は混同するケースが非常に多いため、ぜひこの機会に違いをハッキリさせておいてください。

・セキュリティホール、脆弱性
・ウイルス、マルウェア
・フィッシング、ファーミング
・2要素認証、2段階認証

セキュリティホール、脆弱性

混同しやすい情報セキュリティ関連の用語としては、まず“セキュリティホール”と“脆弱性”が挙げられます。
これらは同じような意味で使用されることも多いですが、厳密には異なります。
セキュリティホールは、ソフトウェアが持つ不具合、いわゆるバグのことを指しています。
例えば、本来不可能なはずの操作が可能になってしまったり、閲覧できてはいけない情報が閲覧できたりと、ソフトウェアに欠陥が発生している状態です。
こちらは、主にプログラムのコーディングミス、設定ミスによって起こるものです。
一方、脆弱性はセキュリティホールとは違い、ソフトウェアにおける単純な欠陥ではありません。
仕様通りに正しく作られたものであっても、外部からの攻撃に対して弱点となる部分があれば、それは脆弱性と判断されます。
つまり、何が脆弱性に当たるのかについては、実際ソフトウェアなどの製品が完成しないとわからないということです。

ウイルス、マルウェア

似ている情報セキュリティ関連用語としては、“ウイルス”と“マルウェア”も挙げられます。
特に日本では、これらの用語を同じ意味で使用したり、総じてウイルスと呼んだりすることが多いですが、このような使い分けは正しくありません。
マルウェアは、悪意のあるソフトウェアを総称した言葉です。
一般的に、ユーザーに迷惑をかける不正なソフトウェアをまとめてこう呼んでいます。
一方、ウイルスは、こちらのマルウェアの一種に数えられるものです。
つまり、マルウェアの中にウイルスも含まれているということです。
ウイルスはプログラムの一部を書き換え、自己増殖するマルウェアであり、単体では存在できません。
ちなみに、マルウェアにはウイルスの他に、単独で生存可能な“ワーム”、偽装して感染し、密かに生存を続ける“トロイの木馬”などが含まれます。

フィッシング、ファーミング

“フィッシング”と“ファーミング”も、似ている情報セキュリティ関連の用語として挙げられます。
フィッシングとは、送信者を詐称したメールを送付したり、偽のメールから偽のホームページにアクセスさせたりすることで、クレジットカード番号、アカウント情報といった重要な個人情報を盗み出す行為です。
英語ではPhishingと表記し、魚釣り(Fishing)と洗練(Sophisticated)から作られた造語だと言われています。
一方、ファーミングは、ドメインと紐づけられたIPアドレスを不正に書き換えることで、ユーザーを偽のホームページに誘導する攻撃手法を指します。
フィッシングの一種ではありますが、通常のフィッシングは前述の通り、メール等による偽装URLの拡散という手法を取るのに対し、ファーミングはドメイン名とIPアドレスの紐づけを不正操作することにより、ユーザーに正規のURLを表示し、偽サイトに誘導するところに違いがあります。
つまり、ユーザーが正規のサイトアドレスを入力しても、ファーミング攻撃を受けてしまうと、不正なサイトに誘導されてしまうということです。

2要素認証、2段階認証

似ている情報セキュリティ関連の用語としては、“2要素認証”と“2段階認証”も挙げられます。
これらは、どちらも複数の手段を用いる認証方式ですが、決して同じものではありません。
2要素認証は、認証に使用する知識、所持、生体という3つの要素から、異なる種類の要素を要求する認証方式をいいます。
ちなみに、知識、所持、生体を用いた認証には、それぞれ以下が挙げられます。

認証に使用する要素
知識・パスワード ・PINコード ・秘密の質問 など
所持・セキュリティキー ・スマートフォン ・タブレット ・スマートウォッチ など
生体・指紋 ・手のひらの静脈 ・虹彩 ・顔 など

例えば、パスワードとスマホのSMSを用いて認証する方式であれば、それは2要素認証に該当します。
一方、2段階認証は、一度認証を行った後に、もう一度認証を行う方式をいいます。
こちらの方式では、認証要素の種類は問いません。
例えば、パスワードで認証した後に、ユーザーが重要な操作をする際、秘密の質問やPINコードを入力するような方式を指しています。

まとめ

ここまで、情報セキュリティ関連の似ている用語の違いを見てきましたが、いかがでしたでしょうか?
これらの言葉を混同せず、しっかり意味を覚えておくことで、情報セキュリティ体制はより堅固になることが予想されます。
また、前述したものの他にも、気になる用語がある場合は、一度詳しく調べてみることをおすすめします。

タイトルとURLをコピーしました