セキュリティ脅威とは

2020.02.12

Webセキュリティ

普段安心して使っているIT機器は、常にセキュリティ脅威に脅かされています。セキュリティ脅威の種類はいくつかに分類することができ、それぞれ異なる危険性を持っているのです。ここでは、そもそもセキュリティ脅威とはどのようなものなのかという問題を踏まえて、それぞれの種類の違いや、対策についてを紹介していきます。

目次

セキュリティ脅威とは

セキュリティ脅威は、大きく分けて環境的要因によるものと人的要因によるものの2つに分類できます。環境的要因としては、地震や台風などの災害が影響するものとハードウェア障害やネットワーク障害などの、システム上の障害が影響するものがあるのです。IT機器は繊細なので、高気温や高湿度などの異常気象が続いてしまう場合にも、影響を受ける可能性があります。環境的要因によるセキュリティ脅威は仕方のないものと考える人もいますが、医療現場など、人の命を預かっている場においてはシステムが停止すると大きな被害が出ることもあるので気を付けなくてはいけません。

このような環境的要因によって引き起こされる脅威は防ぐことが難しいので、事前にデータのバックアップをしっかり取ることを徹底したり、万が一そのような事態が起こってしまった際のシステム復旧をおこなう準備をしたりするなどを心がけておくと良いでしょう。一方、人的要因によるものは意図的におこなわれるものと、意図的ではなく偶然おこってしまうものがあります。どこかの集団が企業や個人の情報を盗むためにおこなう標的型の攻撃やマルウエア感染などは意図的脅威といえます。

特に標的型攻撃によるセキュリティ被害は、独立行政法人情報処理推進機構が2019年に発表した「情報セキュリティ10大脅威 2019」においてもランキングの第1位となっているほど、危険性の高い脅威なのです。企業や官公庁などが標的型攻撃の被害を受けると、国家レベルの機密情報や重大な内部資料などのデータが外部に流出してしまう危険もあります。国民のさまざまな個人情報が流出してしまう可能性もあるでしょう。標的型攻撃は主にメールを使用しておこなわれることが多いのが特徴です。

メールにマルウエアが添付されていたり、本文の中に不正なURLが記載されていることが多く、その添付ファイルを開いたり、URLにアクセスしてしまったりすることでマルウエアに感染してしまうのです。このようなメールを受信しないためにも、使用しているソフトウェアを最新バージョンにしたり、ウイルス対策ソフトをインストールしたりしておくことが大切になります。また、件名が怪しいメールは開示しないことを徹底するなど、社員教育もおこなっていかなくてはいけません。

一方の偶発的なセキュリティ脅威は、あらゆる場面で起こることが考えられます。たとえば、持ち出してはいけないと決まっている会社のパソコンを持ち出して紛失してしまった場合や、操作を誤ってデータを消してしまった場合などが挙げられるでしょう。このほかにも、さまざまな例がありますが、このような防げるはずのヒューマンエラーによってセキュリティ脅威にさらされてしまうことも多くあるのです。わざとやったわけではなくても、このようなヒューマンエラーを起こしてしまうことで重大な事故に繋がる恐れもあります。

ミスで消去してしまっても重要なデータが消えないように、バックアップを取るなど、技術的な対策だけでなく、セキュリティ事故を起こさないような制度を作り、社員が危険性をしっかりと把握したうえで徹底して守ることが必要です。特に、インターネット環境があれば仕事ができるような取り組みは企業でも進められています。社員にとっては便利なシステムですが、不注意や不正をおこなうことでデータが流出する危険性も高いのです。このような働きかたを認めている企業は社員に対しユーザーアカウントを配布し、適切なアクセス権限を与えるなど管理をおこなうことで不正を防ぐことができるでしょう。

クラウドにおけるセキュリティ脅威にも注意すべき

クラウドサービスは社員同士でファイルを共有できるなど、便利な機能が多くあるため、利用する企業も増えています。それに伴い、クラウドにおけるセキュリティ脅威も問題になっているのです。クラウドサービスを利用するうえでの脅威としては、主に不正アクセスが挙げられます。不正アクセスはIDやパスワードを入力してログインするサービスであれば、クラウドサービスに限らず起こり得る脅威ですが、クラウドサービスを利用するうえでも重要視しなくてはいけません。

不正アクセスがおこなわれる手口としてはさまざまな方法があり、代表的な総当たり攻撃やパスワードリスト攻撃をはじめとして、コンピューターウイルスを利用したものや人的攻撃もあります。総当たり攻撃は、ツールを使って適当なIDやパスワードを作成し、それを当てはめてログインを試みる方法です。正解のIDとパスワードにたどり着くまでには時間がかかりますが、実際にもこの方法で不正アクセスの被害を受けたという例が多くあります。分かりやすいIDやパスワードを設定していると被害に遭う確率が高くなるので、なるべく複雑なものを設定することが不正アクセスを防ぐために大切です。

また、パスワードリスト攻撃は、ほかのサイトから流出した個人情報を利用してログインを試みる方法となっています。登録してあるいくつものサービスで同じIDやパスワードを使用していると、どこかのサービスで攻撃を受けて流出した際に、ほかのサービスでも被害に遭う確率が高くなるでしょう。IDやパスワードはサービスごとに異なるものにして、管理をしっかりすることが大切です。ほかにも、入力した個人情報を盗み取る種類のウイルスにかかってしまうと、知らぬ間にIDやパスワードが盗み見られてしまうこともあります。

さらに、企業でクラウドサービスを利用している場合、退職者のアカウントを削除し忘れていると、その退職者が企業のクラウドに不正ログインし、情報を盗むことも考えられるのです。このような不正アクセスによる被害のほかにも、クラウドサービスの脆弱性を狙ったサイバー攻撃がおこなわれると、クラウドにあるデータが改ざんされたり盗み見されたりする危険もあります。クラウドサービスにおけるセキュリティ被害に遭わないためには、利用する際のセキュリティ対策をしっかりとおこなうことが重要です。

具体的には、英数字を混ぜて8文字以上のパスワードを使用したり、ほかのサービスで使用しているIDやパスワードを使い回ししたりしないようにしましょう。定期的に変更することも効果があります。また、特定IPのみアクセスを許可したり、外出先のWi-Fiでアクセスする場合は暗号化したりするなどの対策をとりましょう。さらに、クラウドサービスを選ぶ段階で、ログインするときに2段階認証を設けているかどうかや、ワンタイムパスワードの入力を設けているかなど、複数の認証システムがあるかどうかを確認することも大切です。SSL/TLSでの通信をおこなっているサービスやセキュリティ機能が充実しているサービスを選ぶようにしましょう。

事前に対策をしてセキュリティ脅威を防ごう

セキュリティ脅威が起こる背景には、環境的要因のものなど防ぐことが難しいものもありますが、不審なメールを開示するのをやめたり、IDやパスワードの管理をしっかりおこなうなど、事前に対策できることもあります。そのような対策に加えて、万が一の事態に備えてバックアップをとるなど、できる限りの対策をしてセキュリティ脅威を防ぎましょう。