Written by 田村 彩乃
ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。
目次
サイバーセキュリティとは、コンピューターシステムやネットワーク、データなどの情報資産を、電子的な攻撃や犯罪から保護するための技術・対策のことを指します。
より簡単に説明すると、私たちがデジタル世界で安全に活動できるよう、大切なデータやシステムを、悪質な攻撃やウイルスから守るための対策がサイバーセキュリティです。
この記事を読めば
・サイバーセキュリティの概念が理解できる
・サイバーセキュリティが重要視される背景がわかる
・サイバー攻撃の主な種類(手口)がわかる
・サイバーセキュリティの対策がわかる
・サイバーセキュリティに有効なソリューションがわかる
インターネットが普及しテクノロジーが発展した今、Webサービスやシステムが積極的に活用されるのに伴い、企業や組織を狙ったサイバー攻撃がますます深刻化しています。一人ひとりが組織と自身を守るため、サイバーセキュリティへの理解を深めることが重要です。
本日は、サイバーセキュリティの概要や、サイバー攻撃の手口・対策などについて解説します。
【稟議書テンプレート付き】セキュリティツール導入の決裁を勝ち取る3つの極意
セキュリティ製品の導入について、経営層の理解を得るのが難しい…そんなお悩みをお持ちの方へ、稟議書テンプレートをご用意しました。
サイバーセキュリティとは
サイバーセキュリティとは、ネットワークやコンピューターシステム、モバイルデバイス、クラウドサービスなどの情報技術資産を、不正アクセスや情報の漏洩・改ざんをはじめとする「サイバー攻撃」から、保護するための取り組みを指します。
企業を標的としたサイバー攻撃が行われると
・顧客情報や社内の機密情報の流出
・サービスや事業の停止
・顧客や取引先・パートナーからの信頼失墜
・身代金や損害賠償請求などの金銭被害
このようなリスクを軽減し、従業員と顧客が安心して事業に携わるためにも、サイバー攻撃へのセキュリティ対策(サイバーセキュリティ)は、企業にとって今や必須課題といえます。
情報セキュリティとの違い
サイバーセキュリティと似た言葉に「情報セキュリティ」がありますが、両者の厳密な意味は異なります。
・情報セキュリティ:保護する媒体に関わらず、情報を守るセキュリティ
・サイバーセキュリティ:電子化された情報を守るための、セキュリティ
両者の違いは、保護対象が「情報全体」であるか、電子化された情報であるかです。 広義の意味では、サイバーセキュリティは情報セキュリティのなかに含まれており、情報セキュリティの一種であると言えます。
また、企業・組織の「情報セキュリティマネジメントシステムの仕様」を定めた規格「JISQ27002」では、情報管理の三原則 として「機密性」「完全性」「可用性」3要素を提唱しています。「情報セキュリティ(サイバーセキュリティ)」では、この3要素を維持ことを主眼に、対策や組織システムを検討する必要があります。
なぜ今、サイバーセキュリティが必要とされるのか?
2023年現在、「サイバーセキュリティへの取り組み」は、組織にとって「社会的な責務」の1つと言っても過言ではありません。情報技術の発展に伴い、インターネットやクラウドサービスなどの利用が一般化する一方、これらの技術を悪用するサイバー攻撃も増加しているためです。
近年のサイバー攻撃の傾向や発生推移
2022年「総務省」が公表した「2021年度に観測したサイバー攻撃関連の通信数(NICT)」によれば、攻撃観測数は約5,180億パケットに上り、3年前の2018年度から2.4倍(約2,169億パケット)も増加しています。
引用:総務省|令和4年版 情報通信白書|我が国におけるサイバーセキュリティの現状
また近年は、個人や機密データの搾取にとどまらず、それらを売買したり、代償として多額の身代金を要求したりする、金銭の絡んだ悪質な犯行も増加しています。
実際、米連邦捜査局(FBI)のIC3が記録した「2022年のサイバー犯罪の被害総額」は103億ドルに上り、2021年の69億ドルから約1.5倍増加しています。
引用:日経クロステック │ 2022年のサイバー犯罪被害額、前時代的な犯罪が首位に躍り出た深刻な理由
自社だけでなく関連する組織や顧客を守るためにも、企業は最新の脅威に対処できる、適切なサイバーセキュリティを行う必要があります。
【稟議書テンプレート付き】セキュリティツール導入の決裁を勝ち取る3つの極意
セキュリティ製品の導入について、経営層の理解を得るのが難しい…そんなお悩みをお持ちの方へ、稟議書テンプレートをご用意しました。
企業が実施すべきサイバーセキュリティの種類
先述した「機密性」「完全性」「利用可能性」を担保するため、組織が取り組むべき主なセキュリティ対策として、以下のような概念が挙げられます。
・ネットワークセキュリティ
・エンドポイントセキュリティ
・アプリケーションセキュリティ
・クラウドセキュリティ
■ ネットワークセキュリティ
- コンピュータネットワークを不正アクセスやデータの改ざん、ウイルスやマルウェアなどの攻撃から保護するための、技術や手法のこと。
- 有効な対策として、ファイアウォールの導入やアクセス制御、アンチウイルスによる侵入検知等があげられる。
■ エンドポイントセキュリティ
- ネットワークに接続されたPCやスマートフォン等の端末、サーバーを保護するための、セキュリティ対策を指す。
- 悪意のあるソフトウェアやマルウェアからエンドポイントを守る、アンチウイルスやファイアウォール、データ暗号化、ポリシー管理などの技術が有効。
■ アプリケーションセキュリティ
- アプリケーションソフトウェアを、悪意のある攻撃から守るための対策を指します。ソフトウェア開発のライフサイクル全体にわたプロセスであり、コードの記述やアプリ設計、メンテナンスなどの段階で実施される。
- 対策として、アプリケーションの脆弱性診断やペネトレーションテスト、セキュリティポリシーの策定などがあげられる。
■ クラウドセキュリティ
- クラウド内のデータとアプリケーションを、悪意ある攻撃や不正アクセスなどから、守るための対策。昨今テレワークの推進などの影響で、クラウドセキュリティの重要性が高まっている。
- 対策として、アクセス権限や共有のセキュリティ設定、多要素認証によるアクセス制御、内部不正を防ぐ監査ログ取得などがある。
関連ページゼロトラストセキュリティの概念も重要
サイバーセキュリティで大事にされている概念に「ゼロトラストセキュリティ」があります。ゼロトラストとは、社内外のネットワーク環境において従来の「境界」の概念を捨て、情報資産にアクセス可能な媒体は「すべて信用せず対策する」という概念です。
以前までは「ネットワーク内部はセキュリティが信頼できる、外部は信頼できない」という概念が一般的でしたが、テレワークの浸透やテクノロジーの進化に伴い、「機密データをクラウド(外部)へ保存すること」「内部ネットワークでも悪質な脅威が簡単に侵入すること」が当たり前に。
そうした背景を受け、ゼロトラストセキュリティという考え方が重要視されています。ゼロトラストセキュリティを意識することで、より高度なセキュリティ対策の実施に近づくことができます。
サイバーセキュリティの対象となる、主なサイバー攻撃の種類
サイバー攻撃には様々な種類があり、各特性に応じて適切な対策を取る必要があります。
ここでは組織が警戒すべき、代表的なサイバー攻撃の種類を解説します。
マルウェア
マルウェアとは、「コンピューターウイルス」のような、デバイスやネットーワークに害を及ぼす、悪意のあるソフトウェアを指します。ワームやトロイの木馬、スパイウェア、ランサムウェアなどが該当します。
組織から機密情報を盗み取る、あるいは不正な遠隔操作の実施・システム障害や停止に追い込むといった目的で仕掛けられます。
ランサムウェア
ランサムウェアとは、先述した「マルウェア」の1種です。感染者のパソコンに不正アクセスし、データを強制的に暗号化する、あるいは操作をロックした後、暗号化や機能制御の解除と引き換えに「身代金」を要求する手口です。
ランサムウェアに感染すると、多額の金銭被害が発生するだけでなく、業務停止や顧客データの漏洩など、甚大なダメージを受けるリスクがあります。近年では国内や国外の大手企業がこのランサムウェアの被害に遭うケースが多発しており、サイバー攻撃の中でも、特に注視されている犯罪です。
標的型攻撃
標的型攻撃とは、特定の企業や組織に対し、機密情報の搾取やデータの暗号化などを仕掛けるサイバー攻撃のことです。高度なフィッシングメールを偽装したり、マルウェアを仕組んだ添付ファイルを開かせたりと、手口の巧妙なものが多くなっています。
標的に対してカスタマイズされた攻撃を行うため、一般的な攻撃手法と比較して、より高度で複雑な攻撃手法を用いるため、発見や防御が難しいとされています。
フィッシング詐欺
フィッシング詐欺とは、思わず送り手が開きたくなるようなメールやSMSを送信し、マルウェアを含むファイルを開かせたり、悪質なウェブサイトへ誘導したりするサイバー攻撃です。
最近は詐欺の内容も巧妙化しており、被害者の知り合いや、大手の銀行や通販サイト・総務省など国家機関を装う、悪質な手口も頻繁に見られます。フィッシング詐欺に対処するには、フィルタリング設定やソフト導入のほか、従業員に対する教育・攻撃メール訓練などの取り組みが有効です。
DoS攻撃/ DDoS攻撃
DoS攻撃またはDDoS攻撃とは、一度に大量のリクエストをサーバーに向けて意図的に送信し、サーバーに過剰な負荷をかけてダウンさせるサイバー攻撃です。 サーバーに、短時間で数十万件など、スペック以上の暴対なアクセス数が起こすことで、webサイトを機能停止に追い込みます。
DoS攻撃/DDos攻撃のねらいは情報の奪取ではなく、「企業・組織のWebサイトやシステムをダウンさせることそのものにあるケースが大半です。ECサイトなどであれば、商品の販売自体が継続できなくなるなど、深刻な被害に見舞われる可能性があります。
ゼロデイ攻撃
ゼロデイ攻撃とは、OSやアプリケーションなどに最新のセキュリティアップデートが適用されていないタイミングで、ソフトウェアの脆弱性を突いて行うサイバー攻撃です。
仮に、アップデート版の提供開始日を「1日目(ワンデイ)」と定義した場合、まだアップデート版が提供されていない「0日目(ゼロデイ)」に攻撃を行うことから、この名がつきました。
ゼロデイ攻撃ではソフトウェアの脆弱性を突くため、悪質なマルウェアをメールに添付し、対象のパソコンを感染させます。もしくは、他社のWebサイトを改ざんし悪質なプログラムを勝手に組み込むことで、不特定多数の訪問者に感染させるケースもあります。
パスワードの窃取・解析
ユーザーIDやパスワードを窃取・解析し、 組織のWebサービスやシステムへ不正にログインして、機密情報の搾取・データの改ざんを行うサイバー攻撃もあります。
パスワードを盗み不正侵入をする方法としては
・パスワード推測ツールを使って、複数の単語をランダムに組み合わせてログインを試みる方法
・あらかじめ対象者のログインIDとパスワードを取得し、複数のWebサービスやシステムにアクセスを試みる(パスワードリスト攻撃)
などが代表的です。
パスワードを窃取して不正ログインを行うサイバー攻撃は、利用者になりすました状態でアクセスするため、犯行がバレづらいという特徴があります。さらに、Webサービスやシステムは共通のユーザーIDとパスワードが使いまされるケースもが多く、一度の流出で複数サービスが被害にあう可能性が高いため要注意です。
【稟議書テンプレート付き】セキュリティツール導入の決裁を勝ち取る3つの極意
セキュリティ製品の導入について、経営層の理解を得るのが難しい…そんなお悩みをお持ちの方へ、稟議書テンプレートをご用意しました。
「情報セキュリティ10大脅威 2023」から見る最新のサイバー攻撃
IPA(情報処理推進機構)では、その年に特に影響が大きかった情報セキュリティの脅威を10個選出する「情報セキュリティ10大脅威」を、毎年発表しています。
2023年「個人編」「組織編」で選出されたサイバーセキュリティの脅威は、以下の通りです。
情報セキュリティ10大脅威 2023【個人編】
【1位】フィッシングによる個人情報等の詐欺
【2位】ネット上の誹謗・中傷・デマ
【3位】メールやSMS等を使った脅迫・詐欺の手口による金銭被害
【4位】クレジットカード情報の不正利用
【5位】スマホ決済の不正利用
【6位】不正アプリによるスマートフォン利用者への被害
【7位】偽警告によるインターネット詐欺
【8位】インターネット上のサービスからの個人情報の窃取
【9位】インターネット上のサービスへの不正ログイン
【10位】ワンクリック請求等の不正請求による金銭被害
情報セキュリティ10大脅威 2023【組織編】
【1位】ランサムウェアによる被害
【2位】サプライチェーンの弱点を悪用した攻撃
【3位】標的型攻撃による機密情報の窃取
【4位】内部不正による情報漏えい
【5位】テレワーク等のニューノーマルな働き方を狙った攻撃
【6位】修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)
【7位】ビジネスメール詐欺による金銭被害
【8位】脆弱性対策の公開に伴う悪用増加
【9位】不注意による情報漏えい等の被害
【10位】犯罪のビジネス化(アンダーグラウンドサービス)
参考:IPA │ 情報セキュリティ10大脅威 2023
2023年度に公表された「情報セキュリティ10大脅威」では、個人の1位が「フィッシングによる
個人情報等の詐欺 」、組織編の1位に「ランサムウェアによる被害」がランクインしています。
特にランサムウェア攻撃被害は国内でも増加傾向にあり、警察庁が2023年に発表した昨年度の調査によれば、2022年中に報告されたランサムウェア被害件数は、前年比で57.5%増となる230件(上期114 / 下期116 )に増加。2020年下半期以降、右肩上がりで増加しています。
引用:警察庁│令和4年におけるサイバー空間をめぐる脅威の情勢等について
また組織編の2位に入った「サプライチェーン攻撃」とは、標的にする組織自体ではなく、組織と関連のある子会社やパートナー企業のセキュリティの脆弱性をつき、不正アクセスを行う手口です。サプライチェーン攻撃に対策するためには、自社のセキュリティはもちろん、関連企業への注意喚起や仕組みづくりのサポート・締結時のポリシー策定などを行う必要があります。
サイバー攻撃の被害にあうとどうなる?国内の被害事例
企業・組織がサイバー攻撃を受けてしまうと、以下の様な被害リスクが想定されます。
・機密情報の漏洩による損害賠償支払い・信頼の失墜
・システム障害やデータの改ざんによる業務への影響・停止
・重要データの暗号化による損失
・データ復旧を引き換えにした身代金の要求
その一例として、過去に国内で発生した「サイバー攻撃の被害事例」をご紹介します。
1. ランサムウェア感染にて病院の基幹システムが停止、約8万5000人のデータが暗号化
サイバー攻撃の種類:ランサムウェア攻撃
企業の業種:医療機関
被害の概要:基幹システムの停止と約8万5,000人のデータ暗号化
2022年1月、国内病院の基幹システムがランサムウェア攻撃にて停止し、患者情報が暗号化されたほか、プリンターが乗っ取られ大量の脅迫文を出力するなどの被害が発生。
● 約8万5,000人のデータが暗号化される
● 診療報酬計算や電子カルテ閲覧に使用する基幹システムが停止し、新規患者の受け入れが不可に
といった大きな被害に発展しました。
暗号化データの復旧と引き換えに身代金を要求されましたが、病院側は受け入れを断り自力でのデータ復旧を実施。2021年12月末に運営を再開しました。
2.海外の子会社がサイバー攻撃を受け、顧客企業の機密データが流出化
サイバー攻撃の種類:サプライチェーン攻撃
企業の業種:大手総合電機メーカー
被害の概要:社内システムへの不正アクセス、機密データの搾取・流出
大手総合電機メーカーでは、2020年1月、中国に展開する子会社にてサイバー攻撃被害が発生。電力会社や通信会社・JRや自動車会社といった主要企業の機密データや、最大8,000人の個人情報が流出する事件となりました。
攻撃者は、まず海外に拠点を置く関連会社に不正アクセスし、ログインIDやパスワードを窃取して、日本国内の拠点へと侵入。機密情報を扱う可能性が高い「中間管理職層」のパソコンを中心に、不正アクセスを繰り返したとのことです。
セキュリティの脆弱な子会社を踏み台に、大企業に攻撃をしかける「サプライチェーン攻撃」の典型的な事例です。
サイバーセキュリティで押さえたい5つの基本対策
サイバー攻撃から身を守る「サイバーセキュリティ対策」として、具体的にどういった施策を行えばよいでしょうか。組織で押さえておきたい、基本的な対策についてご紹介します。
1.総務省セキュリティガイドラインに沿った対策
総務省では、企業や地方自治体が守るべきセキュリティの指針を示した「セキュリティガイドライン」を公開しています。中でも「テレワークセキュリティガイドライン」や「地方公共団体における情報セキュリティポリシーに関するガイドライン」などが代表的です。
前者では、働き方改革などによりテレワークが広がる現状を受けて「企業がセキュリティ上の不安なくテレワークを導入するための指針」となる内容が書かれています。
後者では、各地方自治体が組織内の情報セキュリティを確保するための方針や体制、セキュリティ対策等を包括的に定めた内容を提示しています。地方公共団体における情報セキュリティとその対策や情報セキュリティの管理プロセス、対策レベルの設定などの項目も用意されています。
2.OS・ソフトウェアのアップデート
OSやソフトウェアを定期的にアップデートし、最新の状態に保つことも、サイバーセキュリティ対策には重要です。前述のようにOSやソフトウェアは定期的にアップデート版が配信されるため、アップデートを適用せず放置すると「ゼロデイ攻撃」のように脆弱性を狙われる危険が増大します。
3.パスワードの管理と多要素認証の導入
情報流出の要因となりやすい「不正アクセス」を防ぐためには、パスワード管理や多要素認証を導入し、アクセス制御を適切に行うことが大切です。
パスワードは定期的に変更する、複数のサービスでパスワードを使い回さない、二段階認証や多要素認証などを取り入れることで、不正アクセスリスクを大きく軽減できます。
4.セキュリティポリシー策定と従業員教育
サイバーセキュリティにおいて、社内のポリシー策定とセキュリティ教育も欠かせない要素です。企業や組織のセキュリティ対策・行動指針を明らかにする「セキュリティポリシー」を作ることで、社内のセキュリティルールを確立することが可能に。
また、従業員それぞれがセキュリティの知識や意識を身に着けることで、リスクある行動の回避や、感染の疑いがある際の早期連絡などを促すことが可能になります。
5.アンチウイルス等、優れたツールの導入
セキュリティ対策を専門としたツールやアンチウイルスソフトの導入も、サイバーセキュリティ対策には効果的です。
例えば、今話題の「IT資産管理ツール」を使うことで、社内に存在する「IT資産の一括管理」や、不正行動を見逃さないための「アクセスログの取得」、ソフトウェアアップデートの一元管理などが行えます。
また、アンチウイルスソフトであれば、マルウェアやウイルスの攻撃・侵入を速やかに検知し、駆除に向けた対策を行うことが可能です。
「LANSCOPE サイバープロテクション」では、エンドポイントを未知のマルウェアやランサムウェア攻撃から守る、次世代型アンチウイルスを提供しています。
LANSCOPE サイバープロテクションのAIアンチウイルス
LANSCOPE サイバープロテクションでは、未知・既知を問わず脅威を検知する、2種類の高性能なAIアンチウイルスを展開しています。
・EPPに加え、侵入後のウイルス対策(EDR機能)が実装できる「CylancePROTECT」
・PC・スマホを問わず、多様なデバイス環境やファイルを保護できる「Deep Instinct」
「Cylance PROTECT」の強みとして、EDR機能を月額+150円の手ごろな価格で、オプションとして導入できる点があります。侵入後のウイルスや脅威も検知する「EDR」を実装することで、エンドポイントを内外から、今日後に保護することが可能です。
「Deep Instinct」では、AIを活用したディープラーニング機能で、最新の脅威にも問題なく対策できる点が特徴です。スクリプトファイルの検知、さらにWordやExcel、PDFなどのファイルに仕掛けられた脅威検知も可能なため、近年の悪質なフィッシング詐欺・ランサムウェア攻撃対策として効果的です。
CylancePROTECT(サイランスプロテクト)
● 未知のマルウェアも実行前に検知・隔離
● EPP、EDR両機能を実装可能
● CPU負荷は平均0.3%と、低負荷で快適。
▼製品ページはこちら
https://www.lanscope.jp/cyber-protection/cylanceprotect/
Deep Instinct(ディープインスティンクト)
● ディープラーニングで未知の脅威を防御
● 誤検知率0.1%
● PCスマホを問わず様々なデバイス、ファイルに対応
▼製品ページはこちら
https://www.lanscope.jp/cyber-protection/deepinstinct/
まとめ
個人・組織を問わず、昨今の取り組みとして欠かせない「サイバーセキュリティ」をテーマに、解説いたしました。
▼この記事のまとめ
・サイバーセキュリティとは、ネットワークやコンピューターシステムなどの情報技術資産を、不正アクセスなどのサイバー攻撃から、保護するための取り組みを指す
・サイバーセキュリティと情報セキュリティの違いは、前者が「電子化された情報を守るための、セキュリティ」、後者は媒体を問わない点にある
・サイバー攻撃には様々な種類があり、特にIPAの「情報セキュリティ 10大脅威」によれば、ランサムウェア攻撃やフィッシング詐欺、サプライチェーン攻撃、標的型攻撃などに警戒が必要
・サイバーセキュリティの対策がわかる
・サイバーセキュリティの取り組みとして、多要素認証や最新のパッチ・アップデート適用・社内教育・アンチウイルスなど適切なセキュリティツールの導入があげられる
巧妙になり続けるサイバー攻撃から身を守るためのサイバーセキュリティ対策は、企業や組織にとって重要な課題となっています。まずはサイバーセキュリティの概要を理解し、自社にとって適切な対策を検討すること、そして従業員を巻き込みセキュリティ意識を高める働きかけが重要です。
本記事が貴社のサイバーセキュリティ促進に、少しでも貢献できれば幸いです。
【稟議書テンプレート付き】セキュリティツール導入の決裁を勝ち取る3つの極意
セキュリティ製品の導入について、経営層の理解を得るのが難しい…そんなお悩みをお持ちの方へ、稟議書テンプレートをご用意しました。
関連する記事
