目次
サイバーセキュリティとは、ハードウェア、ソフトウェア、ネットワーク、データなどのデジタルリソースを、外部からの脅威や迷惑行為、悪意のある内部関係者、不注意なユーザーから保護するための、さまざまなツール、システム、運用方法、プロセスを組み合わせた取り組みを指します。不正アクセスによる攻撃、侵害、損害を特定して防ぐことを主な目的としており、あらゆる種類の攻撃対策や防御ソリューションを幅広くカバーしています。
サイバーセキュリティに関するITプログラムでは、アイデンティティ(ID)の盗難や情報漏えい、ランサムウェア、デジタル兵器など、あらゆる種類の脆弱性や脅威の経路が想定されています。
サイバー セキュリティ戦略では総合的なアプローチを取り、組織または個々のユーザーのデジタル資産とリソースへの不正アクセス、改ざん、消去、破壊、強奪を防ぐ必要があります。
サイバー セキュリティ戦術では、さまざまな脅威に対処することに重点が置かれます。脅威には、次のような目的でデジタル リソースを標的とする悪意のあるアクティビティがあります。
- 金銭的利益
- 一般的な中断
- 政治的な利益のサポート
- 将来の不正なアクティビティに向けた情報収集
- 電子システムの弱体化によるパニックや恐怖の発生
サイバー攻撃に備える「安全性」強化のポイント
効果的なサイバーセキュリティ対策を行うには、常に変化する技術や仕組みを組み合わせて使い、脆弱性や脅威に対して先回りして対応することが大切です。次の3分野は、サイバー セキュリティ対策の重点領域です。
- 不正アクセス
- 未認証の削除
- 未認証の変更
サイバーセキュリティにおいては、自動化が中核的な役割を担っており、今や欠かせない要素となっています。生成されるデータの量と速度は人間には処理しきれないため、リアルタイムで脅威を検知・対応するには、自動化されたシステムの活用が不可欠です。さらに、サイバーセキュリティの自動化においては、AIがますます重要な役割を果たしており、次のようなサポートを提供します。
- 脅威の検出 – データを分析して既知の脅威を検出し、悪意のあるアクティビティの兆候である可能性のある異常な行動を特定します。
- 脅威の対応 – 疑わしいアクティビティのアラートに基づいて自動生成されたトリガーを契機に、サイバー セキュリティ対策を動的に作成・展開します。
- アラート トリアージ – アラートを自動で評価して誤検出や低リスクのアラームを特定し、人間による即時対応が必要な項目を洗い出します。
- 分析 – サイバー セキュリティ プログラムでAI対応型の自動化を使用することで、攻撃シグナルとマルウェアを分類・優先順位付けし、異常なトラフィックをレビューし、コンプライアンスを監視します。
情報セキュリティの「CIA」からサイバーセキュリティ「CIAS」へ
サイバー セキュリティの仕組みを説明する際は、CIA(機密性・完全性・可用性)が中核的なフレームワークであると考えられていました。しかし、第4の要素「安全性」が強化版モデルとして広く受け入れられるようになりました。これら4つは、サイバー セキュリティ「CIAS」の礎となっています。
機密性(Confidentiality)
サイバー セキュリティ戦略の一環における機密性の目的は、機密情報のプライバシーを保護するため、リソースへのアクセスを認証済みユーザーのみに制限することです。
完全性(Integrity)
完全性に関する保護は、リソースの再現性の確保に加え、不正な変更や破壊の防止を目的としています。これには、すべてのリソースの否認防止と信頼性の維持も含まれています。
可用性(Availability)
サイバー セキュリティの重要なロール(役割)は、データ、システム、サービスなどのITリソースへのタイムリーかつ信頼できるアクセス権限をユーザーへ確実に付与することです。
安全性(Safety)
サイバー セキュリティの観点では、安全性はITリソースに関連するリスクの削減と攻撃に対する防御に重点が置かれています。これには、システムとデータへのアクセス権限が認証済みユーザーのみに付与され、不正アクセスが検出された際にアラートがトリガーされるようにするための措置を講じることが含まれます。
デジタル依存時代におけるサイバーセキュリティ対策の重要性
サイバー セキュリティが重要なのは、デジタル データの規模と依存度が高いためです。ほぼすべての人、そしてあらゆる組織がデジタル データに依存しています。つまり、このようなデータを収集、処理、管理、保存するシステムを、大規模かつ永続的な脅威のエコシステム(不満を抱えた従業員から国家が支援するサイバー テロに至るまで)から保護する必要があります。
すべてのデータは保護されるべきですが、一部のデータはより高度なサイバー セキュリティを必要とします。機密情報と見なされるデータ(知的財産、財務データ、個人情報、医療記録、政府データ、軍事情報など)は、あらゆる種類の悪意ある攻撃者の標的となります。
サイバー セキュリティ対策は継続的に向上されている一方、次のような脅威を阻止する取り組みを維持するため、常に課題に直面しています。
- サイバー攻撃者
- データ損失
- 変化するリスク
- セキュリティ要件の変化
さらに、サイバー セキュリティ ソリューションによる保護が必要な攻撃対象領域(アタック サーフェス)は、次の急増に伴って絶え間なく拡大しています。
- ネットワーク
- データ量
- ITインフラ
- コネクテッド デバイス
- モノのインターネット(IoT)
- 消費者向けモノのインターネット(CIoT)
- 産業用モノのインターネット(IIoT)
- 医療用モノのインターネット(IoMT)
- モノのインターネット スマート シティ(IoTSC)
サイバー セキュリティで最もよく挙げられる3大課題は、データの大洪水、絶え間なく変化する脅威、サイバー セキュリティ人材不足・スキル ギャップです。
データの大洪水 生成されるデータの量と速度が急増することで、企業はデータを効果的に処理する能力の限界に達します。サイバー セキュリティでは、データのライフサイクル全体にわたり、収集、処理、アクセス、管理、保護のあらゆる側面が網羅されています。 場合によっては、データ ガバナンスとデータ管理もサイバー セキュリティの範疇に含まれます。データ量が増加すると、サイバー攻撃者の攻撃対象領域とエコシステムも拡大します。
変化する脅威 脅威とサイバー攻撃者の絶え間ない進化は、サイバー セキュリティにとって最も厄介な課題の1つです。技術革新は多くのメリットをもたらす一方で、新しいシステムとその脆弱性を悪用する新たな攻撃ベクトルも生み出します。 攻撃アプローチの変化と進歩に対応すべく、サイバー セキュリティ システム・戦略を常に調整する必要があります。最大規模の組織でさえサイバー セキュリティを最新の状態に保つのに苦戦する中で、小規模の組織はリスクの増大に直面しています。
サイバー セキュリティ人材不足・スキル ギャップ 優秀なサイバー セキュリティ人材の不足は、ITチームにとって大変困難な状況を作り出しています。データの大洪水と変化する脅威が、サイバー セキュリティ人材の需要と不足に拍車をかけています。
企業を脅かすサイバー攻撃の手口8選
サイバー脅威の種類は絶え間なく増加・進化しています。次で紹介するのは、サイバー セキュリティ ソリューションで対処する、より一般的なサイバー脅威の数々です。
| 攻撃の種類 | 説明 |
|---|---|
| 高度標的型攻撃(APT) | 長期的に潜伏し、検知されずにネットワークへアクセスし続けてから行動を起こす標的型攻撃。 |
| サイバーテロ | 政治・イデオロギー的動機で行われる攻撃。国家支援を伴う場合もあり、甚大な損害や混乱を狙う。 |
| 分散型サービス拒否(DDoS) | 複数システムから大量のトラフィックを送り込み、ネットワークやサーバーを利用不能にする攻撃。 |
| マルウェア | データ窃取や身代金要求などを目的とする悪意あるソフトウェア。 |
| 中間者攻撃 | 通信の送受信を傍受してデータを盗む攻撃。特に公共Wi-Fi利用時にリスクが高い。 |
| フィッシング攻撃 | 正規に見せかけたメールで悪意あるリンクに誘導し、情報窃取やマルウェア感染を狙う。スピアフィッシングは特定対象に絞った手法。 |
| 物理的なセキュリティ攻撃 | システムやネットワークに侵入するための物理空間への不正アクセス。境界防御や物理対策が重要。 |
| SQLインジェクション | アプリケーション脆弱性を悪用してデータベースに悪意あるSQLコードを挿入し、制御やデータ窃取を行う攻撃。 |
それぞれ解説します。
高度標的型攻撃(APT)
高度標的型攻撃(APT)に分類される長期的な標的型攻撃では、攻撃者はネットワークへのアクセスを取得したまま検知されずに待機し、その後に行動を起こします。
サイバーテロ
政治/イデオロギー的な動機によるサイバー攻撃は、サイバーテロとみなされます。このような攻撃は損害と広範囲にわたる混乱を引き起こすことを目的とし、デジタル資産が標的になります。国家に支援されているケースが多く、非常に高度なこともあり、標的をサイバー セキュリティ防御で保護することは困難になります。
分散型サービス拒否(DDoS)
DDoS攻撃では、サイバー犯罪者は複数のシステムを用いてネットワークとサーバーに大量のトラフィックを集中させ、正当なサービス要求の処理を妨害します。これによってシステムは利用不能となり、標的となった組織はオペレーションを遂行できなくなります。
マルウェア
悪意のある(=マリシアス)ソフトウェア(マルウェア)は、データの窃取から身代金の要求まで、損害と混乱を引き起こすように設計・開発されています。サイバー セキュリティ ソフトウェア ソリューションでは、マルウェアを起動前に検出します。
しかしながら通常、マルウェアはユーザーが悪意のある添付ファイルを開くことで起動するため、教育とトレーニングはあらゆる組織のサイバー セキュリティ プログラムにおいて重要な要素となります。効果的なサイバー セキュリティによって阻止できる一般的なマルウェアの種類は、次のとおりです。
- アドウェア – ユーザーのアクセス権許諾なくインストールされ、望ましくないオンライン広告を表示する、潜在的に望ましくないプログラム(PUP)とも呼ばれるマルウェアです。
- ボットネット – リモート制御され、機密データの共有や他のシステムへのアクセスなど、ユーザーのアクセス権許諾なくオンライン タスクを実行するために使用される、マルウェアに感染したコンピューターのネットワークです。
- ランサムウェア – ファイルとデータを(通常は暗号化によって)ロックし、ファイルをロック解除するために金銭を要求します。
- スパイウェア – 気付かれない方法でユーザーの行動を記録します(キー入力の監視によるクレジット カードの窃盗など)。
- トロイの木馬 – 正規のソフトウェアを装ってユーザーを騙し、システムにマルウェアをアップロードさせて損害を発生させたりデータを収集したりします。
- ウイルス – 正規のファイルに添付されてシステム全体に拡散し、悪意のあるコードをファイルに感染させる、自己複製型プログラムです。
- ワーム – ネットワークを介して自己複製・拡散し、他のシステムに感染します。
中間者攻撃
中間者攻撃が発生するのは、2名の個人が送受信する通信をサイバー犯罪者が傍受してデータを盗む際です。サイバー セキュリティ ソフトウェアでは対処が難しい中間者攻撃ですが、安全対策が不十分な公共Wi-Fiネットワークの利用に伴う危険性についてユーザー教育を行うことで、軽減できます。
フィッシング攻撃
サイバー犯罪者は、一見正当なソース(銀行や店舗、友人など)から悪意のあるリンクを含むメールを送信し、被害者を狙います。これらのリンクは、マルウェアのダウンロードを自動で開始したり、クレジット カード情報などの機密情報を入力するようにユーザーを欺くサイトに誘導したりします。フィッシング攻撃と呼ばれるこの種のマルウェアへの対策は、サイバー セキュリティ ソフトウェアの導入とユーザー教育・トレーニングによって実現できます。スピア フィッシングも同様のアプローチを取りますが、標的となるのは特定のユーザーや組織です。
物理的なセキュリティ攻撃
ネットワークとシステムへのアクセスを目的とした物理的な空間への不正アクセスに関連する脅威にも、適切なサイバー セキュリティ対策を講じることで対処できます。保護システムの中には、攻撃者に物理的な境界を侵害されたとしても、システムとネットワークへのアクセスを阻止するデジタル サイバー セキュリティ バリアを備えているものがあります。
SQLインジェクション
データベースを標的とするサイバー セキュリティ侵害の1つに、SQL(構造化照会言語)インジェクションがあります。SQLインジェクション攻撃ではアプリケーションの脆弱性を見つけ出し、見つけたアクセス ポイントを使用してSQLデータベースに悪意のあるコードを挿入します。サイバー犯罪者は悪意のあるSQLステートメントを使用することで、データベースを制御してデータを盗み出すことができます。
サイバーセキュリティ対策を支える3本柱とは?
サイバー セキュリティ戦略を成功させるための3つの中核的要素は、次のとおりです。
ガバナンス サイバー セキュリティに対する組織の対応・管理方法が規定されている文書とプロセス
テクノロジー サイバー セキュリティ脅威を防御するために組み合わせられたハードウェアとソフトウェア
オペレーション ガバナンスと技術的要素を用いたサイバー セキュリティ戦略の実施
サイバー セキュリティの例には、次のようなものがあります。
- サイバー セキュリティ保証フレームワークの作成
- 包括的なサイバー セキュリティ エコシステムの構築・維持
- 組織的なガバナンス フレームワークの強化
- オープン スタンダードの活用
組織を守る主要なサイバーセキュリティ テクノロジー
常に手を変え品を変えて巧妙に仕掛けられるサイバー攻撃に対しては、多角的な防御策が欠かせません。ここでは、その代表的なセキュリティ対策を紹介します。
| 分野 | 概要 |
|---|---|
| アプリケーションセキュリティ | ソフトウェアの設計・開発・テスト・保守で脆弱性を発見・修正し、不正アクセスや改ざんを防ぐ。 |
| クラウドセキュリティ | クラウド環境のアプリやアーキテクチャを保護するためのセキュリティシステムやソフトウェア。 |
| データリカバリと事業継続計画 | 攻撃や障害発生時のリスクに対応し、業務再開を支援するリカバリ計画にセキュリティを組み込む。 |
| ID管理 | ユーザーやシステムのアクセス権限を制御・監視する仕組み。あらゆるセキュリティプログラムの基盤。 |
| データセキュリティ | データの保存・転送時の完全性とプライバシーを保護する仕組み。 |
| IoTセキュリティ | IoT機器特有の広範な攻撃対象領域に対応する専用のセキュリティ技術。 |
| モバイルセキュリティ | スマホやPCなどモバイル端末の不正アクセス・紛失・マルウェアから情報を保護。 |
| ネットワークセキュリティ | ネットワークの脆弱性に対応し、ハード/ソフトを用いて不正アクセスや攻撃を防止。 |
| 運用上のセキュリティ | データ資産の保管・使用・共有に関する手順やルールを定める。 |
| ユーザー教育・トレーニング | ユーザーが最大のリスク要因であるため、教育・訓練により攻撃への認識と対策力を強化。 |
それぞれ解説します。
アプリケーション セキュリティ
アプリケーション セキュリティには、ソフトウェアにおけるサイバー セキュリティ機能の設計、開発、テスト、導入、保守などがあります。その目的は、不正アクセスと変更に悪用される可能性のあるコードの脆弱性を発見・修正することです。
クラウド セキュリティ
クラウド セキュリティには、クラウドベースのアプリケーションとアーキテクチャを設計、開発、導入、保守する際に使用される、サイバー セキュリティ システムとソフトウェアなどがあります。
データ リカバリと事業継続の計画
ディザスタ リカバリと事業継続の計画において重要なパートは、攻撃あるいはオペレーションの中断やデータ損失を引き起こすその他のイベントへの対策を計画することです。どのようなリカバリ計画であっても、リスクに対処し、業務再開を急ぐ中で脆弱性が生じないようにするため、サイバー セキュリティをあらゆる段階に組み込む必要があります。
ID管理
アクセスのあらゆる側面(アクティビティ、フレームワーク、プロセスなど)を網羅するID管理は、あらゆるサイバー セキュリティ プログラムの主要要素です。ID管理によってITチームとセキュリティ チームは、ユーザーとシステムのアクセス権限を制御・報告できるようになります。
データ セキュリティ
ネットワーク、アプリケーション、ストレージ内にある(転送/保存中)データの完全性とプライバシーを保護することは、データ セキュリティの一環です。
モノのインターネット(IoT)のセキュリティ
IoTは最大の攻撃対象領域の1つとして広く認識されており、従来のサイバー セキュリティではその要件に十分に対応できないため、独自のサイバー セキュリティ システムが必要です。
モバイル セキュリティ
モバイル セキュリティでは、あらゆるモバイル端末(スマートフォン、ノート パソコン、タブレット、その他のコネクテッド デバイスなど)に保存されている情報の保護を対応します。通常、モバイル セキュリティ ソリューションはサイバー セキュリティの課題(不正アクセス、デバイスの紛失・盗難、マルウェアなど)に対処するため、カスタム構築済みであるかカスタマイズされることになります。
ネットワーク セキュリティ
ネットワーク セキュリティはOSとネットワーク アーキテクチャの脆弱性に対処するために使用され、ハードウェア/ソフトウェアを使用して不正アクセス、妨害、悪用を防止します。ネットワークに重点を置いたサイバー セキュリティ ソリューションでは、サーバー、ホスト、ファイアウォール、ワイヤレス アクセス ポイント、ネットワーク プロトコルが保護されます。
運用上のセキュリティ
運用上のセキュリティでは、データ資産の取り扱い方と保護方法に関する決定を指示します。データの保管方法・場所に関する手順に加え、使用と共有に関するルールの確立が含まれます。
ユーザー教育・トレーニング
見落とされがちな教育・トレーニングですが、重要かつ効果的なサイバー セキュリティ ツールとして広く認識されています。必ずしもテクノロジーではないものの、デジタル プラットフォーム上で開発・導入されます。
サイバー セキュリティにおいて最も予測不能なユース ケースはユーザーであるため、このリスクを抑えるうえで教育・トレーニングは欠かせません。
エンド ユーザー向けのサイバー セキュリティ教育・トレーニングには、サイバー脅威に関する一般的な認識からフィッシング攻撃の見分け方まで、あらゆる内容が含まれます。
サイバー セキュリティのベスト プラクティス
堅牢なサイバー セキュリティを確保する業界のベスト プラクティス 20 選を紹介します。
共有アカウントの使用は避ける(つまり、ユーザーに自身のアカウントを用意させる必要がある)
セキュリティ保護されていない公共 Wi-Fi ネットワークの使用を禁止する
コンピューターとネットワーク コンポーネントへの物理アクセスを制御する
サイバー セキュリティ ポリシーを策定・施行する
不明な送信者から届いたEメールの添付ファイルは開かない、またそのようなEメールや見慣れないWebサイトのリンクをクリックしないよう、ユーザーを教育・トレーニングする
転送/保存中のデータを暗号化する
組織の物理的なセキュリティを評価する
DevSecOpsのベスト プラクティスに従う
ユーザーにパスワードの定期的な変更を求める
堅牢な事業継続・インシデント対応(BC-IR)計画を導入する
サイバー セキュリティの重要性に対する組織の認識を向上させる
ソフトウェアとOSを最新の状態に保ち、最新のセキュリティ パッチをインストールすることを優先する
アクセス権限を、タスクの実行に必要最小限なレベルに制限する(つまり、最小権限アクセスの原則に従う)
すべての重要なデータのバックアップ コピーを作成する
リスク評価を定期的に実施する
インターネット接続用のファイアウォール セキュリティを用意する
ユーザーに強力なパスワードの使用を求める
すべてのシステムを定期的にスキャンする
Wi-Fiネットワークを保護する
ウイルス/マルウェア対策ソフトウェアを使用する
サイバー セキュリティ ソリューション
一般的なサイバー セキュリティ ツール/システムを紹介します。
- マルウェア/ウイルス対策
- クラウド アクセス セキュリティ ブローカー(CASB)
- クラウド ワークロード保護プラットフォーム(CWPP)
- データ損失防止(DLP)
- 暗号化ツール
- エンドポイントでの検出・対応
- エンドポイント保護
- ファイアウォール
- アイデンティティ アクセス管理(IAM)
- 侵入防御/検知システム(IPS/IDS)
- 多要素認証(MFA)
- セキュリティ情報イベント管理(SIEM)
- シングル サイン オン(SSO)
- サード パーティ リスク管理
- 仮想プライベート ネットワーク(VPN)
- 脆弱性スキャナー
まとめ
ご覧のように、サイバー セキュリティを適切に行うには困難が伴います。脅威の状況は絶え間なく変化し、攻撃対象領域は留まることなく拡大します。通常、新しいハードウェア/ソフトウェアで実現する機能向上は、サイバー セキュリティの脆弱性をもたらします。
困難が伴うものの、サイバー セキュリティはあらゆる組織にとって欠かせません。
サイバー セキュリティには課題もありますが、次のような多くのメリットもあります。
- 事業継続
- サイバー攻撃に対する防御
- サイバー セキュリティ インシデント発生時の迅速なリカバリ
- 未認証のユーザー アクセスの防止
- エンド ユーザーとエンドポイント デバイスの保護
- 法規制遵守
- 情報漏洩の影響を阻止・軽減
堅牢なプログラムを開始して維持するうえで、必要なリソースと並んでサイバー セキュリティへの投資には価値があるのです。
