サイバーセキュリティとはなにか？

「サイバーセキュリティとは？」と言われると多くの人は漠然としたイメージを思い浮かべることができるものの、「具体的に説明してくれ」と言われると言葉に詰まってしまうのではないでしょうか？

また「ウイルスなどの被害を防ぐ」というのがもっともわかりやすい説明ですが、それだけでは十分にカバーしきれていないことも多くの人が把握できているはずです。

このサイバーセキュリティに関しては定義が難しく、状況によって変化している面もあります。

例えば新しいサイバー攻撃の手口が現れ、これまでになかった被害が生じた場合にはそれに対する対策・セキュリティが必要になってきます。

そうなるとセキュリティの定義そのものも拡大していくわけです。

その意味ではこの用語には多様化と拡大化が進んでいるともいえるでしょう。

このように具体的に説明するのが難しい面もあるのですが、一方で「サイバーセキュリティ基本法」という法律があり、ここでカバーされている範囲内で説明することも可能です。

この法律は2015年に施行されており、現時点ではもっともわかりやすい定義ともいえるでしょう。

この法律における定義ではまず「漏洩」「消失」「毀損」を受けるリスクがあることを前提にそれに対する備えができているかどうかが問われています。

また、システムやネットワークそのものの安全性と信頼性を確保するための対策ができているかどうか。

この二つを柱としたうえでサイバーセキュリティという概念が成り立っているのです。

簡単に言えば現在あちこちで起こっている情報の漏洩、改ざんといった被害を防ぐためのセキュリティ環境を整えるとともに、システムやネットワークそのものの維持管理が問われているということです。

例えば漏洩・改ざんを防ぐためならセキュリティソフトの導入などである程度カバーすることができます。

しかしサイトを構成しているWebアプリケーションが脆弱な場合、セキュリティソフトを導入してもsqlインジェクション攻撃などで被害を受けてしまう可能性もあるのです。

また社内ネットワークで複数のサーバー、パソコンを使用している場合、特定のサーバー・パソコンにセキュリティ対策を施すだけでは不十分、全体のシステム・ネットワークで適切な対策が必要になるのです。

ネットワークですから、一部だけセキュリティを堅固にしたところで脆弱な部分から侵入されるとあっという間に全体に被害が及んでしまうわけです。

こうしてみるとシステム・サーバーレベルで最新のセキュリティ環境を整えることが何よりも重要に思えてきますが、じつはこれだけではカバーできたとは言えない可能性もあります。

サイバーセキュリティにはアナログな側面も持ち合わせているからです。

サイバー攻撃はデジタルのデータを標的に行われるものですが、その手口は必ずしもデジタルばかりとは限らず、アナログな方法で行われることも珍しくありません。

例えば社内に産業スパイが入り込んでシステムやデータベースにログインするためのパスワードやIDを盗み出してしまう、さらには個人情報が保管されている記録媒体を持ち出す、他の媒体にコピーするなど。

産業スパイと言えば大げさですが、情報を欲しがっている人たちが、標的となる会社で働く社員に大金を持ち掛けてこうした内部犯行を促すケースも見られます。

持ち掛けられた側は産業スパイとして入り込んだわけではなく、それまでごく普通の社員として働いてきたにもかかわらず、お金に目がくらんで犯行を行ってしまうのです。

情報がお金になる時代、このように入手するためにお金を出す人もいるわけです。

その一方で形のあるモノを盗み出す場合に比べて形のない「情報」を盗み出す場合には罪悪感があまり伴わないことも多く、それほど悪気がないにもかかわらず「ついついやってしまった」というケースも起こりやすいのです。

そうなるとサイバーセキュリティではこうした内部犯行も含めたアナログな状況における漏洩や改ざんといった問題も含まれることになります。

どんなにセキュリティが充実していてもデータベースにだれでもアクセスできる状況や外部の人間の目に触れやすい環境では防ぐことができないからです。

こうした広い範囲をカバーする形でセキュリティ対策を施していく必要があるため、具体的な対策の選択肢も幅広い範囲に及びます。

おもに3つの範囲に分けることができるでしょう。

まずサイバーセキュリティと言われて多くの人が思い浮かべるセキュリティソフトをはじめとしたデジタル・技術的な面での対策。wafの導入などに加えて定期的なアップデートやセキュリティ診断なども含まれます。
 
自前で行うことができるものもあれば専門の業者に依頼してより本格的に取り組む必要があるものもあります。

2つ目はアナログ・人的な面での対策。セキュリティへの意識を高めるための社員教育、万一不正アクセスや情報の漏洩が起こってしまったときに対応できる環境づくり。
 
攻撃を受けたときに対応が後手後手にまわってしまったために被害を拡大させてしまうケースもよく見られます。
 
とくに多いのが外部に知られないよう隠蔽した結果有効な手を打つのが遅れてしまうパターンです。
 
ほかにもパスワード・IDを誰が利用し、管理するのかを明確にし、ルールを決めておくこと。
 
アクセス管理を取り入れるとより有効でしょう。
 
誰がアクセスの権限を持っているのかはっきりさせておけばパスワードの流出のリスクを減らすだけでなく、流出してしまったときの犯人や経路の特定にも役立ちます。
 
ほかにもメールの誤操作による外部への情報の漏洩、パソコンやUSBファイルなどを家で仕事を続けるために持ち帰った時に紛失・流出してしまうといった人的ミスによるトラブル対策が欠かせません。

そして3つ目が持ち出しや内部犯行を防ぐための物理的なセキュリティ環境の構築です。
 
例えば防犯カメラを設置して不審者の侵入や社員の不審な行為を監視できるようにする、入退室の管理を厳密に行う、外部の人間の侵入を防ぐための施錠の徹底など、多くの従業員が在籍し、部外者の確認が難しい大規模な企業の場合には入室する際にパスワードの入力や整体認証が必要なシステムの導入なども有効です。
 
この3つ目の対策は1つ目、2つ目に比べると優先順位は低くなりますが、重要な機密を扱っている、顧客データなど「市場価値がありそうな」個人情報を大量に扱っている企業の場合には検討してみる価値が十分にあるでしょう。

このようにサイバーセキュリティは必ずしも世間一般における「サイバー」な分野だけでなく、アナログ・物理的な面も含めた幅広い概念を指しています。

情報漏洩の原因の約半分は誤操作と管理ミスによるものとも言われているだけにデジタルな対策だけに留まらないアプローチが問われるのは間違いないでしょう。

顧客や取引先の情報を流出させてしまうと被害は自社だけに留まらなくなりますし、信用・ブランドイメージの低下といった深刻なダメージ、さらには訴訟問題への発展といったリスクを抱えることになりかねません。

コストをかけにくい分野でもありますが、万一のリスクを踏まえたうえで適切なコストと時間をかけて取り組んでいく姿勢が求められるでしょう。

サイバー攻撃の手口は年々巧妙化しているため、OSやセキュリティソフトのアップデートはもちろん、自分たちの知識もアップデートを心掛け、つねに最新の動向を踏まえたうえでの環境づくりも欲しいところです。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。

ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。

ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。