インターネット技術の向上により、個人だけではなく企業でも幅広くインターネットを利用されるようになりました。
さまざまな用途で利用されている一方、情報漏えいや改ざんをはじめとするサイバー攻撃を防止するための対策を講じる必要があります。
本記事では、サイバーセキュリティとは何か、対策の概要や最新動向についてご紹介します。
記事の概要
サイバーセキュリティとは?
サイバーセキュリティとは、デジタル化された情報の漏えいや改ざんを防止する手段を指すものです。
企業は顧客や社員、取引先などさまざまな情報を取り扱っており、それらが悪用されることで大きな被害を受けます。
たとえば法人用クレジットカードの情報が漏えいすると、身に覚えのない売買が行われるだけではなく、違法な市場で取引の対象となることもあります。
企業にとって情報は資本や所有物と同じように重要な財産であるため、必ず守らなければならないものです。
サイバーセキュリティは、そのような脅威から情報を守る重要な役割を担っています。
情報セキュリティとサイバーセキュリティの違い
デジタルに関するセキュリティは、「情報セキュリティ」と「サイバーセキュリティ」に分けられます。
こちらでは、それぞれの違いについてご説明します。
情報セキュリティ
情報セキュリティは、後述する情報の3要素である「機密性(confidentiality)」「完全性(integrity)」「可用性(availability)」を守るために、どのように情報を取り扱うか、安全性を維持するかを考えます。
機密性(confidentiality)
機密性とは、情報を閲覧できる人を制限したり、アクセス権限を管理したりすることを指します。
機密性が高い状態の情報とは、社内でのみ閲覧することができるものやパスワード付きのものなどが挙げられます。
一方、機密性が低い情報はパスワードが付いていなかったり社内外問わずいつでも・どこでも閲覧ができたりするものなどが該当します。
高い機密性を維持するためには、外部に見せないことや漏らさないことを意識することが重要です。
下記、機密性が高い情報の一例です。
- 個人情報
- 顧客情報
- 商品情報
これらの情報が外部に漏えいすると悪用される可能性があるため、取り扱いには十分注意を払わなければなりません。
完全性(integrity)
情報の完全性とは、改ざんや不正が行われた履歴がなく、正確な情報が保持されている状態を指します。
どの企業でも使用する情報は必ず正しいものでなければならず、情報の完全性が失われてしまうと正確性や信頼性が疑われるため、信用できないものとなります。
完全性を保持・証明するためには、下記の対策が挙げられます。
- デジタル署名の作成
- アクセス履歴・変更履歴を残す
- 情報を保管するルールの設定
情報の完全性は一般の企業だけではなく、医療現場などでも重要視される要素です。
たとえば病院や診療所、クリニックでは電子カルテと呼ばれる、コンピューター上に患者さんの容態を記載するものが使われています。
電子カルテの完全性が失われていると、正しい施術や処方ができないため、命に関わる被害が出る恐れがあります。
そのため、情報は「誰が」「いつ」「どこを」変更したのかといったことが明確である必要があります。
可用性(availability)
可用性とは、情報をいつでも閲覧・使用が可能な状態に保持し続けることです。
業務をスムーズに行うために、情報は「必要な時に」「必要な物を」「必要なだけ」入手することができるような状態にしておく必要があります。
また、目的を果たすまでアクセスや情報処理が中断されないようにしておくことも重要です。
それらができている情報は、可用性が高いものであると言えます。
これまでは社内サーバーにて管理をする「オンプレミス型」が広く利用されていましたが、可用性の観点から近年では、社外サーバーを利用した「クラウド型」も積極的に利用されています。
これら機密性・完全性・可用性の3要素を合わせて「CIA」と呼び、情報セキュリティは情報漏えいや情報の改ざんといったサイバー攻撃に対してどのように安全な状態を保つかといった対策を講じます。
サイバーセキュリティ
サイバーセキュリティは先述のCIAに対する脅威に対処するための考え方を対象としており、被害を未然に防ぐことが主な範囲となります。
その中にはウェブやインターネット上といったデジタルの観点だけではなく、社員が社外に情報を持ち出すといった物理的なものも含まれます。
まとめると、情報セキュリティは高いセキュリティの維持、サイバーセキュリティはトラブルを未然に防止する点が異なります。
サイバー攻撃の種類
こちらでは、サイバー攻撃の種類をご紹介します。
標準攻撃型
標準攻撃型のサイバー攻撃とは、企業の機密情報を不正に入手することを目的とした攻撃を指します。
機密情報を不正に入手するための方法には、採用活動やアンケートを装ったメールを偽装したり、コンピューターウィルスを使用したりといったものが挙げられます。
ランサムウェア
ランサムウェアによるサイバー攻撃とは、コンピューターウィルスに感染したパソコンを経由して不正に情報にアクセスし、強制的に情報の暗号化や操作のロックを行ったあと、その企業に対して暗号化やロックを解除するためのお金を要求するものです。
強制的に情報の暗号化や操作をロックされるため、感染したパソコンや感染が拡大した企業では業務を行うことができなくなるため、大きな被害を受けることになります。
DoS・DDoS攻撃
DoS攻撃とは「Denial of Service attack」の略で、1台のパソコンに侵入して、そのパソコンが使用しているサーバーに多大な負荷をかけるサイバー攻撃です。
DDoS攻撃は「Distributed Denial of Service attack」の略で、こちらは複数のパソコンを対象にしたサイバー攻撃です。
サーバーに強い負荷がかかると情報の読み込みが遅くなったり、システムがダウンしたりします。
DoS・DDoS攻撃ともに情報を不正に抜き取ったり改ざんをしたりはしませんが、サーバーに負荷がかかるため業務を行うことが難しくなります。
ゼロデイ攻撃
ゼロデイ攻撃とは、OSやアプリケーションなどのセキュリティがアップデートされる前にソフトウェアの脆弱性を突くサイバー攻撃です。
ゼロデイの名前の由来は「0日目」です。
OSやアプリケーションなどにセキュリティの脆弱性が見つかると、その企業は脆弱性を修正するためにアップデート版を配信します。
そのアップデート版が提供される日を「1日目」とし、提供される以前の日を「0日目
」と定義したことから、ゼロデイ攻撃と呼ばれるようになります。
ゼロデイ攻撃を行う際には、マルウェアなど悪質なプログラムを何らかの方法でパソコンに送り付け、コンピューターウィルスに感染させます。
ウィルスに感染したパソコンは第三者により操作を乗っ取られたり、情報を搾取されたりといった被害を受けることになります。
パスワードの解析・抜き取り
Webサービスやシステムにログインするためのパスワードを解析し、情報を抜き取るサイバー攻撃です。
パスワードは推測ツールを使われて解析されたり、何らかの方法で入手したものを使用する「パスワードリスト攻撃」などで解除されたりしたりします。
パスワードの解析・抜き取りによる攻撃の特徴として、不正アクセスだということを判別しにくい点が挙げられます。
また、抜き取られたIDやパスワードの情報が広まってしまうと、多くの人にログインをされてしまうためさらに判別が難しくなります。
そのため、Webサービスやシステムには個別のID・パスワードを設定しましょう。
いずれのサイバー攻撃も、個人では下記の方法で対策をとることができます。
- サイバー攻撃の手口や脅威を理解する
- 複雑なパスワードの設定
- 不審なメールやサイトに注意する、開かない
- OSやソフトウェアを常に最新の状態に更新する
3つのサイバーセキュリティ対策
サイバー攻撃を防ぐには、下記3つのサイバーセキュリティ対策が有効です。
技術的対策
技術的対策とは、セキュリティ製品の導入やマルウェア・コンピュータウィルスの侵入を防ぐことなどが挙げられます。
企業によっては個人ではできないことがあるため、何を導入するべきかを検討し、議論を重ねてから実施しましょう。
技術的対策には、下記の方法が挙げられます。
- ウィルス対策ソフトの導入
- IDS/IPS・WAFの導入
- 定期的なソフトウェアの更新
物理的対策
物理的対策とは、盗難や災害、デバイスの破損といった物理的要因に対する対策のことで、情報を管理している場所に対する物理的なアクセスの管理を指します。
下記、物理的対策に関する一例です。
- オフィスの入退室・施錠管理を徹底する
- 監視カメラ・防犯カメラを設置する
- 耐震強化・耐震設備の導入
人的対策
人的対策とは、インターネットやコンピューターを利用するすべての人を対象としたルールを設定し、遵守することです。
下記、人的対策の一例です。
- 業務の持ち帰りを制限する
- パスワード管理に関するルール決め
- セキュリティや情報に関する教育の実施
サイバーセキュリティの現状
近年、サイバー攻撃による被害は日本国内だけではなく、世界各国で多発しています。
国が保有する情報の中には国家機密情報、安全保障といったさまざまな重要情報が含まれており、それらが流出することで各国の関係性が悪化し、紛争に発展する可能性も考えられます。
また、解析やマーケティングなどに利用される膨大な情報の塊である、「ビッグデータ」もサイバー攻撃の対象となっています。
これらが発生する原因は、先述した3つのサイバーセキュリティ対策が万全ではなかったことも挙げられます。
特に、過去に機密情報の持ち出しによる事件が発生したこともあるため、「人的要因」に関しては各員に徹底する必要があります。
サイバーセキュリティの今後の動向
サイバーセキュリティは今後、官民が連携して対策を講じることが考えられます。
国単位ではサイバーセキュリティについて指針や行動予定、法律の制定などがされていますが、都道府県や地方公共団体によっては浸透しきっていないところもあります。
また、都心部と地方都市での情報に対する知識やノウハウに差がある点も重要です。
そういった格差をなくすためには、地方公共団体だけではなく企業にも協力をしてもらう必要があるため、今後民間が連携することも考えられます。
おわりに
本記事では、サイバーセキュリティについて解説いたしました。
サイバーセキュリティは、情報の3要素である機密性・完全性・可用性への脅威をなくすことが目的で、現状を維持する情報セキュリティとは差別化されています。
サイバー攻撃には下記の種類が挙げられるため、技術・物理・人的要因にて対策をとりましょう。
- 標準型攻撃
- ランサムウェア
- DoS・DDoS攻撃
- ゼロデイ攻撃
- パスワードの解析・抜き取り
サイバーセキュリティの現状としては、国内だけではなく世界各国が被害に遭っている状況で、ビッグデータもその対象となっています。
今後の見解としては、国内全体でサイバーセキュリティ対策を講じる必要があるため、官民の連携が考えられます。
サイバー攻撃を防ぐためには、会社の方針だけではなく個人が「どうすれば攻撃を防ぐことができるのか?」といった意識を持つことが重要です。