IT資産管理

情報セキュリティに潜む問題とは?事例を交えて解説!

Written by MashiNari

ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。

情報セキュリティに潜む問題とは?事例を交えて解説!

目 次

情報セキュリティの問題点
情報セキュリティインシデントの事例
情報セキュリティインシデントを防ぐためには
情報セキュリティの問題点を整理し自組織のセキュリティ環境を改善

対策は万全?【チェックシートで現状確認】やるべきセキュリティポリシー策定とセキュリティ対策のポイント

資料をダウンロードする

“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする


セキュリティの重要性が叫ばれる現代では、全ての組織が情報セキュリティ対策を実施し、機密情報を守る必要があります。
しかし、サイバー攻撃や内部不正など、情報漏洩に繋がる脅威やリスクは様々であり、全てに備えるのは困難なのも実情です。
この記事では、情報セキュリティに潜む問題点を整理し、必要な対策を講じるための基本を解説します。

情報セキュリティの問題点



多くの組織がセキュリティ対策を行なっていますが、残念ながら完全な防御を実現することは極めて困難です。
組織の情報セキュリティに潜む代表的な問題点を紹介します。

境界型防御の限界

組織内ネットワークとインターネットの境界に集中してセキュリティ対策を施す境界型防御の有効性が揺らいでいます。
攻撃者による不正アクセスやマルウェアが内部ネットワークへ到達してしまった場合に、それ以上の防御が困難であることが主な理由です。

近年ではテレワークが急速に広がり、従業員や協力会社など業務に携わる要員が社外のインターネットから社内システムへアクセスすることもあるため、ネットワークの境界線はさらに曖昧になっています。

しかし、境界型防御からの脱却には、ネットワーク環境を再設計し大規模なネットワーク更改が必要となるため、境界型防御のセキュリティ環境を継続している組織は多いのではないでしょうか。
境界型防御とは異なる概念でセキュリティを考える必要もあり、セキュリティ構築自体の難しさもあります。

高度化する外部攻撃

セキュリティ対策製品は日々進化しており、高性能な製品が数多く提供されています。
しかし、組織の機密情報を狙う攻撃者の攻撃手法も高度化の一途をたどっており、イタチごっこの状態が続いています。

攻撃を防げなかった場合は情報漏洩以外にも、データを暗号化され業務を行えなくなり、攻撃者から身代金を要求されるランサムウェアなどの被害も懸念されます。
一度の攻撃で組織が長年培ってきた信頼や資産に大きな被害が生じるため、徹底した対策が必要です。

内部不正

組織の情報セキュリティを脅かす従業員の行為もあります。
悪意を持った不正はもちろんですが、機密情報にアクセス可能な従業員の不注意やリテラシー不足によるミスであっても、重大なセキュリティインシデントに繋がる恐れがあるため、可能な限り内部不正を防止する対策を講じる必要があるでしょう。

限られた予算をどのようなセキュリティ対策に使えばよいのか正しく検討するには、自組織のセキュリティ環境にどのような問題が潜んでいるのかを認識することが第一歩といえます。

情報セキュリティインシデントの事例


ここでは、実際に起こった情報セキュリティインシデントの事例を紹介します。

高度な技術を有する攻撃者によるサイバー攻撃

2020年5月、組織の社内サーバーを経由した不正アクセスが発生しました。
攻撃者は、侵入後に複数のサーバーの情報を閲覧したようですが、非常に速いペースで痕跡の消去やノードの移動を繰り返しており、状況の把握が非常に困難な状態となっていたようです。
これにより、約900社の情報が外部に流出したと見られています。

高度なスキルを持った攻撃者は、情報の奪取だけではなく調査の妨害まで考慮して攻撃を行います。従来型の防御の限界が垣間見える事例です。

旧型のVPN装置を狙ったサイバー攻撃

2020年11月、組織が利用していたVPN装置を対象としたサイバー攻撃が行なわれました。
コロナ禍によるテレワークの推進に伴い、ネットワーク負荷が増大した際の緊急対応として旧型のVPN装置を設置・利用したところを攻撃者に狙われました。
これにより、約16,000人の顧客や株主の個人情報が流出したと言われています。
また、攻撃者は盗み出した情報をインターネット上に暴露する旨の脅迫を行い、断続的に機密情報の公開が続きました。

一時的な緊急手段であっても、そこを狙った攻撃の被害に遭う恐れは十分にあります。

同僚のアカウントを悪用した内部不正

2022年7月、同僚のアカウント情報を利用して機密情報を不正に閲覧、改ざんした事件が発生しました。
発行されたアカウントの初期パスワードが個人の誕生日と紐付く文字列となっており、容易に予測可能かつ、初期パスワードから変更せずに利用されていたアカウントが複数存在していたことから不正利用が可能な状態となっていた事件です。

不正アクセスは約3年間行なわれていたことが発覚しており、不審なデータアクセスや端末操作を見逃し続けてしまったことも原因の一つと考えられます。
USB記憶媒体への保存を試みた形跡も見つかりましたが、許可されていないデータの持ち出しは行えない対策を講じていたため、外部への漏洩は防ぐことができたようです。

紹介したサイバー攻撃の2事例は、被害者のセキュリティ環境に明らかな不備が存在していたとは言い切れないものです。
少しの隙であっても、高度なサイバー攻撃の対象となってしまえば重大なダメージを負うリスクが常に存在すると考えられます。
3つ目の内部不正は、組織内のセキュリティ環境に不十分な点が見受けられます。
セキュリティポリシー遵守の徹底や、ITリテラシーの向上施策を怠っていたと外部から見られてしまうことで、組織の信用は大きく損なわれてしまうでしょう。

セキュリティインシデントを100%防ぐことは困難です。
しかし、対策を講じて適切な運用を行なうことで防げるインシデントも存在します。
セキュリティリスクを極力減らすことを意識し、セキュリティ環境を整えることが大切です。

まずは、セキュリティポリシーの有効性をチェック!やるべきポリシー策定とセキュリティ対策のポイント

資料をダウンロードする

情報セキュリティインシデントを防ぐためには


前述した問題点には、どのような対処が考えられるでしょうか。

境界型防御からの脱却

境界型防御から進化したセキュリティとして「ゼロトラスト」が注目されています。
ゼロトラストは特定の防御手法を指す言葉ではなく、アクセスしている全ての要素(アカウントやデバイスなど)を信頼しないセキュリティという概念です。

境界型防御の弱点として、内部ネットワークに侵入されてしまうとセキュリティ強度が大きく低下してしまう点があります。
ゼロトラストでは、正規の認証を経てアクセスしているユーザーやデバイスであっても信頼しません。

アクセス元の位置情報やデバイスにインストールされているソフトウェア、ウイルス対策ソフトのバージョンなど様々な角度でアクセスを確認・判定します。
それにより不自然なアクセスを遮断する、不審な動作をしているプログラムを隔離するなどの対処を行ない、セキュリティ強度を高めます。

ゼロトラストに関してはこちらで詳しく解説していますので、併せてご確認ください。

関連ページ

ゼロトラストとはなにか?基本を理解して将来に備えよう

高度な外部攻撃への対策

業務に利用するデバイスのOSや、ウイルス対策ソフトを最新の状態に保つことが基本的な対策です。
発見された脆弱性を放置した状態では、攻撃者に狙われた時点で情報漏洩に直結するリスクが激増します。
常に最新の状態を維持するだけでも多くの攻撃を防ぐことに繋がるため、徹底した管理が重要です。

また、サイバー攻撃の大きな脅威として未知のマルウェアが考えられます。
シグネチャ方式(パターンマッチングによりマルウェアを検知する仕組み)と振る舞い検知方式による従来のウイルス対策製品は、マルウェアがデバイスに侵入することを防ぐことに主眼を置いてデバイスを保護します。
そのため、一度侵入を許してしまえばマルウェアによる被害を抑えるのが難しいことが課題でした。

近年では、マルウェアがデバイスに侵入した後の被害を防止することに主眼を置いたEDR(Endpoint Detection and Response)と呼ばれるエンドポイントセキュリティが注目されています。
EDRはデバイス上で動作するプログラムのログを収集・分析し、不審な挙動を検知したらデバイスの隔離や調査、管理者への通知を行ないます。
それによりマルウェアの被害を最小限にとどめ、深刻な状況を回避することに繋げます。

この他にも、情報漏洩を防ぐために必要なセキュリティ対策は数多く存在します。
こちらの記事では、情報漏洩への対策について詳しく解説しています。併せてご覧ください。

関連ページ

知っておきたい情報漏洩対策の基本! 実践しやすい対策内容をご紹介

内部不正への対策

業務上必要と認められた正規の権限で不正を行なってしまうため、ファイアウォールやウイルス対策ソフトなどの一般的なセキュリティ製品では防ぐことが難しいケースがあります。
システムの観点からは、組織が許可していないUSB記憶媒体の利用を制限する、デバイスやシステムの操作ログを収集し従業員が不正をしていないことを監視する、などが有効です。
IT資産管理ツールなどの製品を利用して、上述の制御や監視を行なうのが一般的です。

また、従業員のリテラシーを強化することで、悪意のない内部不正を防ぐことも大切です。
全従業員を対象としたリテラシー教育が、セキュリティの知識や意識を向上させることに繋がります。

内部不正対策を行なうためには、自組織の状況を正確に理解し、適切なアプローチが必要です。
こちらの記事で、内部不正について詳しく解説しています。併せてご覧ください。

関連ページ

内部不正を起こさない組織とは? 原因と対策を解説

働き方が多様化し、機密情報へのアクセス経路や扱い方が変化している近年では、従来のセキュリティ対策の効果が薄れてしまうケースも存在します。

情報セキュリティの問題点を整理し自組織のセキュリティ環境を改善

世界中で高度なサイバー攻撃が頻繁に行なわれる現代は、情報セキュリティを脅かす脅威と常に隣り合わせです。
盤石なセキュリティ環境を構築しても、脆弱性の発見や新たな攻撃手法により突破されてしまうリスクは存在します。

少しでもセキュリティリスクを減らすためには、組織のセキュリティ環境を定期的に見直す機会を設け、情報セキュリティへの脅威の情報収集に努めることが大切です。
対策が不十分なセキュリティ要素を発見・改善することで、セキュリティリスクの軽減に繋がります。

対策が不十分なセキュリティ要素がないかチェックシートで確認!これだけはやるべきポリシー策定とセキュリティ対策

資料をダウンロードする

“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする


情報セキュリティの概要はこちらで解説しておりますので、併せてご覧ください。

関連ページ

情報セキュリティの策定に必要な7つの要素とは?それぞれの考え方を解説!

関連する記事