Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
セキュリティの重要性を多くの人が認識し、各組織は情報資産を守るために様々な取り組みをしています。
その中で「情報セキュリティ」や「サイバーセキュリティ」といった単語を耳にする機会も多々ありますが、これらの違いを明確にできていない方もいらっしゃるのではないでしょうか。
どちらも同じくセキュリティですが、それぞれの意味を正しく理解することが、自組織のセキュリティはどのような意味を持っているのか、足りないセキュリティはあるのかといった状況を見直すきっかけにもなります。
この記事では、情報セキュリティとサイバーセキュリティの違いから、サイバーセキュリティがどのようなものなのかを解説します。
情報セキュリティとサイバーセキュリティの違い
どちらも情報資産を守ることを目的としていますが、以下の違いがあります。
情報セキュリティ
保存している媒体にかかわらず、情報を守るためのセキュリティです。
JIS Q 27002は、組織の情報資産を守るための要素として「機密性」「完全性」「可用性」を維持することと定めており、近年では「真正性」「責任追求性」「否認防止」「信頼性」の4つを加えた7要素とするケースもあります。
情報セキュリティはこれらの要素を守るため、どのような対策を行なうかに焦点を当てて、セキュリティ環境を構築します。
サイバーセキュリティ
サイバーセキュリティは電子化された情報を守るためのセキュリティを指します。
サイバー攻撃が高度化している現代では、不正アクセスやマルウェアによる電子情報の改ざんや奪取のリスクは常に隣り合わせと言ってもよいでしょう。
このような攻撃への対処として、組織では適切なサイバーセキュリティを講じる必要があります。
このように、情報セキュリティは情報全体を対象とし、サイバーセキュリティは電子化された情報を対象とするという違いがあります。
ただし、用語の使われ方としては情報セキュリティがサイバーセキュリティの意味を含んでいる場合もあります。
サイバーセキュリティで防ぐ脅威はどのようなものか
情報の重要性が高まり続ける現代では、高性能なセキュリティ対策製品が多数存在し、安定したセキュリティ環境を構築する難易度は下がっています。
しかし、組織の情報セキュリティを脅かすサイバー攻撃の手法も高度化しています。このほかにも内部の人間が不正を働き情報漏洩を引き起こす事件も耳にしたことがあるのではないでしょうか。
ここでは、サイバーセキュリティでどのような脅威に対処するのかを紹介します。
マルウェア
デバイスやサーバーにマルウェアを仕込むことで、踏台化や情報の奪取が行なわれます。
2021年には病院で利用しているシステムがランサムウェアに感染し、カルテや会計システムの閲覧ができなくなるなどの被害が発生しています。
システム復旧まで2カ月間、病院は患者の受け入れを中止するなどの被害を受けることになりました。
参考:朝日新聞
ウイルス対策ソフトやOSの最新化でマルウェアの多くに対処することが可能です。
ただし、未知のマルウェアは、通常のパターンファイルで検知できず、感染してしまうこともあります。
近年ではEDRやAIを搭載したアンチウイルス製品など、プログラムの振る舞いを検知してマルウェア被害を抑える製品も登場しています。
標的型攻撃
攻撃者が特定の組織や個人を狙ってマルウェアに感染させる、不正サイトへの誘導をするメッセージを送信するなどの攻撃です。
2020年6月、大手自動車メーカーがランサムウェアに感染し、複数の工場で生産機能が停止する被害がありました。
識者による調査では、そのランサムウェアは被害に遭った企業のネットワークで動作するように作り込まれており、ピンポイントでこの企業を狙った攻撃であると見られています。
参考:日系XTECH
このように、攻撃者が対象に合わせたサイバー攻撃を行なうことで、堅牢なセキュリティ環境を施している大企業でも被害に遭うケースは存在します。
また、標的型攻撃は不正サイトへ誘導するメッセージを送信し、機密情報を奪う手口も知られています。
不正サイトは、実在するクレジットカード会社などのWebサイトやWebサービスを巧妙に偽装しています。正規のサイトであると勘違いしてクレジットカード情報やログイン情報を入力すると、攻撃者に流出してしまう仕組みです。
Webフィルタリングソフトを導入し、不正サイトにアクセスを行えないようなセキュリティ環境を整えるなどの対処が一般的です。
不正アクセス
マルウェアや標的型攻撃のほか、セッション情報※1と呼ばれるWebサイトとクライアント端末間の情報を盗み取るなどの方法で、システムやWebサービスに不正アクセスする攻撃です。
2021年には大手システムインテグレーターが提供するプロジェクト管理ツールが不正アクセスを受け、多くの利用者の情報が被害を受けました。
同社は該当ツールの運用を停止し、被害を受けてから約11カ月間、調査や対外的な対応に追われました。
正規のアカウント情報で接続されているため従来のセキュリティシステムでは検知が難しく、多くの機密情報が盗まれてしまう恐れがあります。
多要素認証の導入やゼロトラスト※2が有効な対策となります。
※1 セッション情報:Webサービスとクライアントデバイスの間で、通信の開始から終了までの通信情報。ログイン状況や画面操作状況を保持しているため、セッション情報を盗んだ攻撃者が正規のログイン状態に成りすます恐れがある。
※2 ゼロトラスト:従来の境界型セキュリティと異なり、正規利用者と不正アクセスを区別せずに正当性を確認する仕組み。
内部不正
従業員や協力会社の要員など、組織の内部にいる人が行なう不正行為です。
2021年、証券会社のシステム保守・運用を委託されていた企業の元従業員が証券会社の顧客情報を盗み出す不正が発生しました。
被害総額は約2億円で、委託元から委託元の顧客に対する返金が必要になるなど、他社を巻き込んでしまう大きな事件となりました。
参考:IPA
悪意の有無にかかわらず、組織の情報セキュリティに違反する行為は内部不正に分類されます。
機密情報を無断で持ち出す、IT管理部門が許可していないクラウドサービスを業務に利用するなど、様々な不正が存在します。
情報セキュリティに対する脅威の種類は、組織の規模や職種にも影響されます。
自組織の脅威を見極め、効果的なサイバーセキュリティ対策を施すことが大切です。
サイバーセキュリティの現状
サイバー攻撃は多様化・高度化の傾向が続いており、サイバーセキュリティ製品の需要も増加しています。
サイバーセキュリティの世界市場は拡大傾向にあり、2021年には1,251億米ドルであった市場は、2022年から2030年までの期間、年平均10.1%成長すると予測されています。
セキュリティ意識の向上やサイバーセキュリティの重要性増大に加え、高度化するサイバー攻撃に対処するための需要が増加し続けていると考えられます。
参考:NEWSCAST サイバーセキュリティ市場は、年平均成長率(CAGR)10.1%で成長し、2030年には2,991億米ドルに達すると予測される
日本におけるサイバーセキュリティの現状については、NICTが運用する大規模サイバー攻撃観測網による観測データが公開されています。
2018年に観測したサイバー攻撃関連の通信数が2,169億パケットであったのに対して、2021年では5,180億パケットと、3年間で2.4倍の増加が見られます。
参考:総務省 サイバーセキュリティ関連データ集
セキュリティ対策は当たり前になっていますが、今後はさらに堅牢な環境が必要になっていくと考えられます。
サイバーセキュリティを徹底し、健全な情報管理を
セキュリティ対策に完全はなく、増加する脅威を分析し組織に必要な対策を継続して行なうことが大切です。
近年ではクラウド化やテレワークの浸透などビジネス環境が大きく変化しており、従来のセキュリティ対策では不十分な状況に陥るケースも珍しくありません。
サイバー攻撃やセキュリティ対策の動向を把握し、組織にとって重大な脅威への対策を怠らないことが重要です。
関連する記事
