サイバーセキュリティとは
サイバーセキュリティとは、技術資産やデータなどのデジタル化された情報を、改ざんや漏洩といった悪意ある攻撃から防御するための手段のことです。サイバーセキュリティでは、PC・モバイル機器などの物理端末や、サーバーやネットワークといったインフラ、電子システムや企業データといったデジタル領域など広範囲が保護対象となっています。
サイバーセキュリティの種類
サイバーセキュリティは、主に以下の5つの種類に分かれています。
ネットワークセキュリティ
コンピューターネットワークを介した侵入者やサイバー攻撃を防御・保護するセキュリティ対策を指します。
アプリケーションセキュリティ
データやコードを対象にした盗難・乗っ取りなどから保護することを目的とする、アプリケーションレベルでのセキュリティ対策。アプリケーションセキュリティは、開発や設計時にセキュリティ上の考慮事項に対応するものが多いですが、展開後のアプリケーションを保護するシステムやアプローチも含まれます。
情報セキュリティ
情報の「機密性(confidentiality)」「完全性(integrity)」「可用性(availability)」に対するセキュリティ対策です。情報セキュリティでは、この「CIA」の状態を守るためには情報をどう扱えばよいかを考えて対策を考える必要があります。対策内容には、情報の漏えいやウイルス感染などを防ぐためにウイルス対策ソフトを導入したり、常に最新の状態にするためソフトウェアのアップデートを定期的に行う、などが挙げられます。
運用上のセキュリティ
外部からの侵入による漏えいやサイバー攻撃を防ぐために、システムを運用する上で施すセキュリティ対策です。例として、認証されたユーザーだけにネットワークへの適切なアクセス権限を付与する、といった対策が挙げられます。
事業継続性・災害復旧時のセキュリティ
万一データ損失やセキュリティ事故が発生した場合、または停電など災害発生時に対する適切な対応が該当します。主に事態の復旧を目的とした対策を指しますが、事業継続性セキュリティには、事故発生時の対応プランなども含まれる場合があります。
サイバー攻撃とは?
サイバー攻撃とは、コンピューターシステムまたはネットワークに対して盗用、改変、曝露、無効化、破壊、または単に不正アクセスをしようとする攻撃のことを指します。一般的なサイバー攻撃の種類を5つ紹介しましょう。
特定のターゲットを狙った攻撃(標的型攻撃)
重要情報の入手を最終目標としていることが多く、時間や手段・手法を問わず、目的達成のために特定の組織に特化して継続的に行われる一連の攻撃のことを指します。一般に「APT攻撃」、「持続的標的型攻撃」と呼ばれるケースもあります。
不特定多数のターゲットを狙った攻撃
不特定多数のユーザーを狙った攻撃は「無差別型攻撃」とも呼ばれ、メールや偽サイトを介して、不特定多数のユーザーに対しマルウェアを感染させる「ばらまき型」の攻撃手法です。フィッシング詐欺なども、ここに該当します。不特定多数を狙ったサイバー攻撃は、個人情報や金銭要求目的によるものが大半を占めています。
負荷をかける攻撃
複数のコンピューターからターゲットとする特定のネットワークへアクセスを集中させて、通信容量を超過させてシステムをダウンさせるDDoS攻撃が有名です。以前から知られている攻撃手法ではありますが、近年ではオンラインシステムの障害によって大きな被害を受ける金融機関などをターゲットに、攻撃停止を条件に金銭を要求するケースも報告されています。また、自身の腕前を誇示するかのように公共団体や有名企業を攻撃する例が、今でも後を絶ちません。
OS・ソフト・Webサイトなどの脆弱性を狙った攻撃
ターゲットとするコンピューターの処理能力を超える不正データを送信して、コンピューターに誤作動を起こさせる「バッファーオーバーフロー攻撃」や、不正なSQLを強制的に実行して、データの改ざんや情報の盗難を行う「SQLインジェクション攻撃」が該当します。脆弱性を狙ったサイバー攻撃は、個人を狙ったものや企業・国家などを狙ったものなどさまざまですが、対策としてはベンダーが提供する最新版にアップデートするほかありません。
パスワード関連のサイバー攻撃
この攻撃は、会員制のサイトなどでログインをする際に必要となるID/パスワードをプログラムによって総当たり(ブルートフォースアタック攻撃)で入力し、登録されている個人情報などを盗み取る攻撃です。また、多くのユーザーはパスワードを複数のサイトで使い回すことを利用して、1つのサイトでID/パスワードを入手したらほかのサイトでもログインを試みる「パスワードリスト攻撃」という手法も存在します。
サイバーセキュリティ対策をするには?
サイバーセキュリティの対策には、セキュリティソフトを使用する対策はもちろん、ソフトウェアで対応するなど技術的な対策、社内でのデータの取り扱いに関するルールを徹底する人的対策、情報保管場所へのアクセスを記録する物理的な対策など、さまざまな方法があります。
セキュリティツールを使用した対策
昨今のサイバー攻撃の複雑化・多様化を鑑みると、セキュリティツールは今は必須ツールと言ってよいでしょう。業務で使用するPCやスマートフォンなどすべてのデバイスに対してセキュリティ対策ソフトをインストールしておくほか、セキュリティツールのバージョンは常に最新版にしておきましょう。
ITツールを使用した技術的対策
システムや情報資産を守るためには、サイバー攻撃を仕掛けられる前の段階である「検知」が非常に重要となります。そのため、IDS(不正侵入検知システム)/IPS(不正侵入防止システム)、WAF(Web Application Firewall)の導入などを検討しましょう。
サイバーセキュリティに対する意識付けを行う人的対策
人的対策は、システム管理者以外のすべての社員がサイバーセキュリティを意識することから始まります。たとえば、情報の持ち込み/持ち出しを制限したり、私物のスマホなどのデバイスを持ち込ませない、などアナログ的な対策も有効です。サイバーセキュリティに対する意識が社内で醸成されていれば、フィッシング攻撃や人的ミスによる情報漏えいなどは回避することができるでしょう。
アクセス管理を徹底する物理的対策
物理的な対策では、デバイスの盗難や情報を保管している場所への物理的アクセスを徹底管理することを指します。具体的には、社内の入退室管理や施錠管理を徹底したり、監視カメラ・防犯カメラを設置する、盗難防止ロックを付ける、といった対策が挙げられます。
まとめ
昨今のサイバー攻撃手法は日々複雑化・巧妙化しているため、最新の動向を意識して対策をしていかなければなりません。常に最新のセキュリティ技術を導入し続けることはコストも運用にも莫大な厳しいですが、人的対策・物理的対策といった基本的なサイバーセキュリティをチェックしておくだけでも効果はあります。
自社でサイバーセキュリティへ対応することが難しい場合や不安が残る場合には、業者が提供するセキュリティチェックサービスを利用したり、サイバーセキュリティの専門事業者に自社に合ったセキュリティ対策の設定を依頼するなど、第三者の知識を取り入れることも選択肢のひとつです。
よくある質問
現在のセキュリティ対策に問題があるかどうか知りたい
まずは、自社の現状を把握することから始めましょう。本当のリスクは何なのかを見極める「リスクアセスメント」を実施して現状の問題を浮き彫りにすることで、対策を施す対象を絞ることができます。
日本国内でのサイバー攻撃被害はどのくらいありますか?
あまり知られていませんが、日本はサイバー攻撃の被害が非常に多く、世界第3位の標的国となっています。年間での被害人数はおよそ400万人とされ、10秒に1人がサイバー攻撃の被害に遭っている計算です。特に、企業や政府関係のサイトは社会的影響度が高いことから、ターゲットにされやすくなっています。