サイバーセキュリティとはなにか？

サイバーセキュリティとは、ネットワーク、デバイス、およびデータを不正アクセスまたは犯罪使用から保護する技術であり、情報の機密性、完全性、および可用性を確保する実践です。

2015年に施行された「サイバーセキュリティ基本法」では、 サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め、国の責務等を明らかにし、サイバーセキュリティ戦略の策定その他当該施策の基本となる事項等を規定しています。

この法律ではまず「漏洩」「消失」「毀損」を受けるリスクがあることを前提にそれに対する備えができているかどうかが問われます。
また、情報システムやネットワークそのものの安全性と信頼性を確保するための対策ができているかも問われます。

この二つを柱としてサイバーセキュリティという概念が成り立っています。

近年深刻な問題となっている情報の漏洩、改ざんなどの被害を回避するセキュリティ環境の整備、情報システムやネットワークの維持管理が求められていると言えば分かりいやすいでしょうか。

例えば情報漏洩や改ざんを防ぐためならセキュリティ対策システムの導入などがある程度効果があるかもしれません。

しかしWebサイトを構成するWebアプリケーションに脆弱性がある場合、目的に合ったセキュリティ対策システムでなければSQLインジェクションなどのサイバー攻撃被害を受ける可能性があります。

また社内ネットワークに複数のサーバやパソコンを接続している場合、特定のサーバやパソコンだけへのセキュリティ対策では十分と言えません。社内ネットワークにセキュリティ対策されていないパソコンが一台でもあれば、そのパソコンがサイバー攻撃の標的となり、社内ネットワークへの不正侵入や重要情報の窃取などの被害に遭うかもしれません。ネットワークやサーバ、パソコンを含めた情報システム全体で適切なセキュリティ対策が必要です。

また、一部だけネットワークのセキュリティを堅固にしても、隣接するネットワークに脆弱性があればそこから不正侵入されネットワーク全体に被害が及びます。ネットワーク製品などの脆弱性情報に留意し、セキュリティアップデートは必ず行いましょう。

このようにネットワークやサーバ、パソコンを含めた情報システム全体で最新のセキュリティ環境を整えることが重要です。
一方、情報システムには必ず人間が関わるため、ネットワークやサーバ、パソコンへの対策だけでは十分とは言えません。

サイバー攻撃はデジタルデータを標的としますが、その手口は必ずしもデジタルな手法とは限らず、ソーシャルハッキングや物理侵入などのIT以外の技術を活用した手法が用いられることも珍しくありません。

例えば企業内に産業スパイが潜入し、システムやデータベースにログインするパスワードやIDを盗み出す、個人情報が保管されている記録媒体を持ち出す、他の媒体にコピーするなどが挙げられます。

産業スパイなどのような情報を欲しがっている人たちが、標的となる企業で働く社員に大金を持ち掛けてこうした内部犯行を促すケースも見られます。

内部犯行を唆された社員は、特に産業スパイというわけではなく、一介の会社員なのですが、内部犯行により得られる報酬に目が眩み犯行に及びます。
情報が価値を持つ現代では、このように金銭的報酬と引き換えに情報の入手を試みるケースもあります。

サイバーセキュリティにはこのような内部犯行も含めた、直接人間が窃盗を行うような状況における情報漏洩や改ざんなどの問題も含まれるのです。

どれほどセキュリティ対策を充実させたところで、重要な情報を扱うデータベースにアクセス制限されていない状況や、重要な情報を保管している場所が無関係の第三者から特定されやすい環境では情報漏洩や改ざんを防ぐことは難しいからです。

このように広範囲に渡ってセキュリティ対策を行う必要があるため、具体的な対策の選択肢も幅広い分野に及びます。

対策は大きく3つに分類できます。

まず１つめはセキュリティ対策ソフトをはじめとしたデジタル・技術的な分野での対策です。WAFの導入などに加えて定期的なソフトウェアのアップデートやセキュリティ診断なども含まれます。

自ら導入、運用可能な対策もあれば専門の業者に依頼してより本格的に取り組む必要がある対策もあります。

2つ目はアナログ・人的な分野での対策です。セキュリティへの意識を高めるための社員教育、万一不正アクセスや情報の漏洩が起こってしまった場合に対応できる環境づくりです。

サイバー攻撃を受けた場合の対応の遅れが被害を拡大させてしまうケースがよく見られます。

外部に知られないよう隠蔽した結果、対策が遅れてしまうようなケースも多いようです。

サイバー攻撃を受けた場合の対応手順を事前に策定したうえで、内容の周知やBCP訓練を行うとよいでしょう。

また、パスワード・IDの利用者、管理者を明確にし、ルールを決めておくことや、アクセス管理を取り入れることは内部犯行を抑止するセキュリティ対策として重要です。

誰が重要な環境へのアクセス権限を持っているのかを明確にしておくことはパスワードの流出リスクを低減させるだけでなく、流出した際の犯人や経路の特定にも役立ちます。

ほかにも、メールの誤操作による外部への情報の漏洩、パソコンやUSBファイルなどの持ち出し時の紛失、それによる機密情報の流出といった人的ミスへの対策としてのセキュリティ教育が欠かせません。

そして3つ目の対策が、持ち出しや内部犯行を防ぐための物理的なセキュリティ環境の構築です。

例えば防犯カメラを設置して不審者の侵入や社員の不審な行為を監視できるようにする、入退室の管理を厳密に行う、外部の人間の侵入を防ぐための施錠の徹底など、多くの従業員が在籍し、部外者の確認が難しい大規模な企業の場合には入室する際にパスワードの入力や整体認証を必要とするシステムの導入なども有効です。

この3つ目の対策は1つ目、2つ目に比べると優先順位が低くなる場合もありますが、重要な機密を扱っている、顧客データなど「市場価値がありそうな」個人情報を大量に扱っている企業では検討してみる価値が十分にあるのではないでしょうか。

このようにサイバーセキュリティはIT分野だけでなく、アナログ・物理的な面も含めた幅広い概念を指しています。

顧客や取引先企業の情報を流出させてしまった場合、被害は自社だけに留まらず、信用・ブランドイメージの低下、さらには訴訟問題に発展する可能性もあります。

セキュリティ対策は費用対効果を明確にすることが難しくコストをかけ辛い分野でもありますが、万一のリスクを考慮して、適切な費用と時間をかけた取り組みが求められるのではないでしょうか。

サイバー攻撃の手口は年々巧妙化しているため、OSやセキュリティソフトのアップデートはもちろん、自分たちの知識もアップデートを心掛け、つねに最新の動向を踏まえたうえでのセキュリティ環境の構築を心掛けたいところです。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。

ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。

ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。