サイト内の現在位置

サイバーセキュリティって?
情報セキュリティとの違いや具体的な対策方法について解説!

サイバーセキュリティって?情報セキュリティとの違いや具体的な対策方法について解説!

2022年のサイバー犯罪による被害総額は100億ドルを越えています。
増加を続けるサイバー犯罪の対処をするために、サイバーセキュリティの重要性がますます高まっています。本記事では、サイバーセキュリティと情報セキュリティとの違いや具体的な対策方法などを解説します。

サイバーセキュリティとは何か?

パソコンやサーバ、スマートフォン、タブレットといったデバイスやネットワーク、Webサービスなどへの不正アクセスを防ぎ、情報の不正な取得・流出や改ざんの防止を目的としたセキュリティ対策のことを総称して「サイバーセキュリティ」と呼びます。

現代においては、あらゆる情報はデジタルデータとして保存されています。その情報資産は企業にとって非常に価値の高いものであり、それを保護するためのサイバーセキュリティは必要不可欠となっています。

▼関連記事:サイバー攻撃とは?目的や手口、種類について解説

情報セキュリティとの違い

情報とは「機密性(confidentiality)」「完全性(integrity)」「可用性(availability)」の3つが保たれることで、正確性や信頼性が向上していきます。

機密性とは、情報に対するアクセス権限を保護・管理していくことをいいます。完全性とは、情報内容の改ざんがされず、過不足のない正確な情報が常に保持されている状態のことです。可用性とは、情報をいつでも使える状態に保っていくことをいいます。

これらの3要素の頭文字を取って「CIA」と呼ばれていますが、情報セキュリティとは、このCIAの正確性や信頼性を守るために情報をどう扱えば良いかを考えることを指しています。

また近年では上記の3要素に加えて、以下のような4つの新要素を加えることがあります。

真正性(Authenticity)

情報にアクセスする企業や個人、媒体などが「アクセスを許可された者」であることを確実にするために、デジタル署名や二段階認証によって証明することを指しています。

信頼性(Reliability)

システムやソフトウェアを利用した動作が意図した通りの結果を出す信頼性を持っているかどうかを指しています。

責任追跡性(Accountability)

アクセスログやシステムログなどを活用し企業や個人などの動きを追跡することで、システムやデータへの脅威が何であるのか、その情報が後で否定されないように証明しておくことを指しています。

否認防止(non-repudiation)

後で情報が否定されないようにログを取っておくことを指しています。
サイバーセキュリティとは、この情報セキュリティの3要素である「CIA」の脅威となる原因に対処していくという考え方のことを示しています。
サイバーセキュリティとは、外部からインターネットを介して実行されるマルウェアや不正アクセスなどの脅威だけを言っている訳ではありません。
従業員などによる内部からの情報持ち出しやデバイスの盗難などといったヒューマンエラーも含めたアナログ的な脅威へのセキュリティも含まれています。
デジタルへの脅威、アナログへの脅威を含め、サイバーセキュリティでは以下のような脅威に対処する必要があります。

  • マルウェア
  • 外部からの不正アクセス
  • 内部からの不正アクセス
  • OSやソフトウェアの脆弱性
  • ネットワークに対する脆弱性
  • ID/パスワードなど、個人情報の漏えい
  • 従業員などによる情報の持ち出し
  • デバイスの盗難や置き忘れ

サイバーセキュリティに関する動向の確認方法

高度に情報化された現代社会では、日々新たな脅威が生み出されてきます。このような状況下においては、サイバーセキュリティに関する最新の動向は常に確認しておくことが重要です。

経済産業省が管轄しているIPA(独立行政法人 情報処理推進機構)やNISC(内閣サイバーセキュリティセンター)のWebサイトから、信頼性の高い最新のサイバーセキュリティ情報を収集することができます。

IPA(独立行政法人 情報処理推進機構)
new windowhttps://www.ipa.go.jp/

NISC(内閣サイバーセキュリティセンター)
new windowhttps://www.nisc.go.jp/

そのほか、企業が運営しているITニュースサイトなどでも、ホットトピックスとしてサイバーセキュリティ関連のニュースを読むことができます。

 

サイバー攻撃の例

サイバーセキュリティを講じるべきサイバー攻撃は日々新たな手法が生み出され、サイバー攻撃を受けた被害事例も数多く発生しています。

身代金の要求

近年、もっとも多く被害が発生しているのが、身代金要求型のランサムウェアです。
デバイスに勝手にインストールされ、そのデバイスに保存されているファイルをすべて暗号化し、利用できなくするマルウェアです。データ復元の対価として身代金を要求されますが、もし身代金を支払ったとしても完全にデータを復元できるか分からないところが特徴です。

偽のWebサイトへの誘導

偽のWebサイトへ誘導し、クレジットカード情報やアカウント情報を入力させることで情報を盗む手口を「フィッシング詐欺」と呼びます。その他、自社の社長や取引先などからの業務メールを装うことで、機密情報や金銭を搾取するといった「ビジネスメール詐欺」もあります。

不正アクセス

ツールを使い、ID/パスワードのすべての組み合わせを試して不正アクセスを行う手口は「ブルートフォースアタック(総当たり攻撃)」と呼ばれています。また、複数のアカウントに対して同時に同じパスワードでログインを試みる「パスワードスプレー攻撃」という不正アクセス方法もあります。

脆弱性への攻撃・悪用

OSやソフトウェアの脆弱性を狙う「SQLインジェクション攻撃」では、データベースを操作する命令文であるSQLを不正実行することでデータの改ざんや情報の搾取を行います。また、対象となるサーバの処理能力を超えた不正データを送信し、サーバに誤作動を起こさせる手法は「バッファーオーバーフロー攻撃」と呼ばれます。
▼関連記事:SQLインジェクションとは?対策方法や手口・脅威、具体的な対策方針例まで分かりやすく解説

盗聴

サイバー攻撃の盗聴とは、パソコンやスマートフォンなどのネットワーク通信内容を盗み見ることを言います。
近年利用が増えた無線LANですが、アクセスポイントに利用制限をかけていない場合、本来はアクセスを許可したくない第三者が接続してしまう可能性があります。第三者が悪意を持っている場合、ネットワーク通信を盗聴し、機密情報などを盗まれる可能性があります。
業務などで使うネットワークには、接続できるパソコンやスマートフォンの制限をかけるようにしましょう。

サイバー攻撃を受けた事例

サイバー攻撃はいまやグローバル企業だけでなく、日本の中堅・中小企業に対しても行われています。

不正侵入後にランサムウェアに感染した事例

ある製造業の企業では、特定の企業をターゲットにしたランサムウェア攻撃により、売上情報や営業資料、取引先・従業員(退職者含む)・関係者の個人情報などが流出しました。

まず海外の現地法人が保有していた予備の旧型VPN装置がサイバー攻撃を受け、社内ネットワークへの不正侵入を許し、国内拠点も含めて社内ネットワークを乗っ取られる形となり、その結果情報を搾取されました。その攻撃の後にランサムウェアに感染させられ、各機器内のファイルを暗号化されてしまいます。

サプライチェーンを介した標的型メール攻撃の事例

サプライチェーンにおいてさまざまなセキュリティレベルのステークホルダーとの取引がある企業では、まず取引先企業のアカウントが攻撃者に乗っ取られました。その攻撃者は、取引先企業を装い、工場部門担当者に対してマルウェアをメール送付したことで、端末2台がマルウェアに感染しました。

ゼロデイ攻撃であったために、既存のウイルス対策ソフトでは検知できなかったものの、導入済のEDR(Endpoint Detection and Response)が検知したことで、端末2台の感染に留めることができました。

サイバーセキュリティ経営ガイドラインについて

経済産業省ではIPAとともに、経営者自らがサイバーセキュリティ対策を推進できるよう、経営者をターゲットとした「サイバーセキュリティ経営ガイドライン」を発行しています。

このガイドラインでは、巧妙化した昨今のサイバー攻撃に対して備えていくためには、事前対策のみならず事後対策が必要であるとしています。

近年、サプライチェーン全体を狙った攻撃や電力など重要インフラを狙ったサイバー攻撃などが増加しています。グローバル企業だけでなく国内企業をも標的とするサイバー攻撃は、規模が大きくなり手口も巧妙になってきています。しかしこれまでサイバーセキュリティ対策が経営責任であると明確に示したガイドラインはありませんでした。

そこでこのサイバーセキュリティ経営ガイドラインは、サイバーセキュリティ対策を検討している企業に属している、次のようなメンバーを想定して作成されています。

  • 企業の経営者
  • サイバー攻撃対策を実施する上での責任者となる幹部であるCISO(最高情報セキュリティ責任者)
  • サイバー攻撃対策の担当者、セキュリティ事故対応チームCSIRT(Computer Security Incident Response Team)のメンバー
  • 上記人材の育成や支援を担当する社内部門や社外の事業者

サイバーセキュリティの対策方法

サイバーセキュリティ対策は、人的側面、技術的側面、物理的側面の3つに分けて考える必要があります。

人的側面

人的側面には立場によって行うべき対策が変わってきます。細かく確認していきましょう。

  • 組織の幹部が行うべき対策
    サイバーセキュリティ対策を行うには投資が必要です。組織の幹部は、自社にある情報資産やリスクを把握したうえで、適切な投資判断を行う必要があります。また、サイバーセキュリティ対策の指揮を幹部自らとるのも重要です。
  • 社員全員が行うべき対策
    社員は一人ひとりがサイバーセキュリティ対策の必要性を理解することが重要です。教育を受けているだけで終わらないよう自分事として捉え、脅威に対して注意を払うようにしましょう。
    会社としてセキュリティポリシーの策定がされている場合は、自社のセキュリティポリシーを理解し、万が一の時にはセキュリティポリシーに則った対応ができるよう、情報収集をしておきましょう。
  • 情報管理担当者が行うべき対策
    まず大事になるのが「情報セキュリティポリシーで定めた対策」が実行されることです。会社全体で実行できるよう、管理・運用および社員の教育・監督を行う必要があります。
    またサイバー攻撃は日々変化しているため、継続的に会社全体の情報セキュリティ体制を見直す必要もあるでしょう。 情報管理責任者は、組織幹部などと連携しながらサイバーセキュリティ対策をアップデートしていくことが重要です。代表的な対策なども後述しているので、ぜひ参考にしてください。

技術的側面

利用しているデバイスやアプリケーションをIT技術によってサイバー攻撃の脅威から守るために、以下のような対策を行う必要があります。

  • すべてのデバイスにセキュリティ対策ソフトをインストールしておく
  • ハードウェアやソフトウェアを統一し、管理を容易にしておく
  • 利用するソフトウェアを常に最新バージョンへアップデートしておく
  • データやシステムへのアクセス権限を管理する
  • IDS(不正侵入検知システム)/IPS(不正侵入防止システム)を導入しておく
  • システムへのアクセスログを管理する

物理的側面

デバイスの盗難や置き忘れをしないようにするほか、オフィスの入退室管理や施錠管理を徹底し、防犯カメラや監視カメラを設置して、情報を保管している場所への物理的アクセスを徹底的に管理する必要があります。

代表的なセキュリティ対策

セキュリティ対策にもさまざまな種類があります。今回はいくつかピックアップして紹介します。ここで紹介する対策以外にも、多岐に渡る対策を検討する必要があるので、自社に必要な対策が何か考えてみてください。

物理的なセキュリティ対策

盗難など、物理的な原因による情報漏えいなどの対策もサイバーセキュリティの対策になります。万が一の時に誰が出入りをしたのかを確認できる「入退室管理」や「監視カメラの設置」、入退室を厳重にする「生体認証の利用」などが対策になります。また情報漏えいの観点では、破棄する機器の「データクリーン」もセキュリティ対策の一つです。

技術的なセキュリティ対策

セキュリティと言えば技術的な対策を思い浮かべる人も多いかもしれませんが、サイバー攻撃を阻止するため、そして万が一攻撃を受けたときに守れるように、技術的なセキュリティ対策も重要です。
例えば、「ファイアウォールの構築」やセキュリティを意識した「無線LANの構築」などが技術的な対策になります。また、「ランサムウェア対策」や「ゼロトラストの対応」など、対策の範囲を絞ってどういった対策をすべきか検討する方法もあります。
何をすれば良いか分からないといった場合は外部業者へ委託し「複数のソリューションを組み合わせたセキュリティ対策」を実現するのも一つの方法です。

組織的・人的セキュリティ対策

物理的・技術的なセキュリティ対策をいくら施しても、社員のセキュリティに対する理解が脆弱性では、対策に不安が残ります。社員一人ひとりがサイバーセキュリティについて理解し、危機感を持つことで、サイバー攻撃の危険を減らすことができます。
擬似的な標的型攻撃メールを送付することで「標的型攻撃の対応訓練」を行ったり、サイバー犯罪などに関する知識・気づきが得られる「情報セキュリティの研修サービス」を実施することで、社員の教育を行うと良いでしょう。また、今行っている対策に過不足がないか「内部監査の支援」を受けてみるのも良いでしょう。

セキュリティ対策をするならNECフィールディング

サイバーセキュリティは、その企業ごとに最適化した対策の方法が必要です。NECフィールディングでは、サイバーセキュリティに役立つ以下のようなサービスを用意しています。

ランサムウェアの脅威にさまざまな側面から多層防御を行うトータルサービス
https://www.fielding.co.jp/service/security/ransomware/

サイバー攻撃対策システム運用サービス
https://www.fielding.co.jp/service/security/cyberattack_operation/

情報セキュリティ研修サービス
https://www.fielding.co.jp/service/security/infosecurity_training/

ウイルス対策システム構築サービス
https://www.fielding.co.jp/service/security/antivirus/

EDR Quick Support
https://www.fielding.co.jp/service/security/edr_quick_support/

まとめ

サイバー攻撃の被害は日々増加しており、企業におけるサイバーセキュリティの重要性はますます増してきています。サイバー攻撃に対抗するためには、社員1人ひとりのセキュリティ意識の向上と、ガイドラインに沿ったセキュリティ施策を実行していくことが重要です。

発行元:NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。