サイバーセキュリティに関してどういった意識をお持ちですか？
「自社は規模も小さく、それほど意識する必要はない」とお考えの方が多いかもしれません。
しかし、現在ではどの企業にも例外なくサイバーセキュリティの意識が必要です。

こちらでは、自社を守るために必須のサイバーセキュリティについてお話しします。
 

サイバーセキュリティについて動画解説！

サイバーセキュリティの基本知識

まずはサイバーセキュリティに付いて基本的な知識を身に着けていきましょう。

サイバーセキュリティとは

サイバーセキュリティとは、データや技術資産を悪意あるサイバー攻撃から守るための取り組みです。
データを利用した処理やネットワークによるデータ共有ができるようになった一方で、こうした情報は常に正確性・信頼性が脅かされる危険性をはらんでいます。
サイバーセキュリティは、こうした危険性に対処するための手段です。

情報セキュリティとサイバーセキュリティ

サイバーセキュリティと似たような取り組みとして、情報セキュリティがあります。
以下では、それぞれのコンセプトについてお話しします。

情報セキュリティのコンセプト

情報セキュリティは、情報の「機密性（confidentiality）」「完全性（integrity）」「可用性（availability）」という3つの要素（CIA）にフォーカスしています。
つまり、情報漏えいや破損を防ぎ、さらにいつでも使えるように使い方を最適化するのが情報セキュリティのコンセプトです。
主に、情報の取り扱いについて考えることになります。

サイバーセキュリティのコンセプト

サイバーセキュリティは、上述したCIAを脅かす要素に対処するための取り組みです。
外部からの悪意のある攻撃に対し、セキュリティ対策を講じます。
また、ヒューマンエラーや意図的な情報の持ち出しなど内部で起こりうる驚異に対処することも、サイバーセキュリティの範疇です。

サイバー攻撃とは

サイバーセキュリティで主に対処していくのは、社内外から企てられるサイバー攻撃です。
サイバー攻撃は日々新しい手口が生み出されており、常にセキュリティ対策との攻防が繰り広げられています。
サイバー攻撃には、以下のような手口があります。

 

• 分散型サービス拒否（DDOS）
• フィッシング
• スピアフィッシング
• キーロガー
• クレデンシャルスタッフィング
• 中間者攻撃
• 総当たり攻撃・逆総当たり攻撃
• ランサムウェア
• SQLインジェクション攻撃
• バッファオーバーフロー攻撃

代表的なサイバー攻撃の例をご紹介しましょう。

分散型サービス拒否（DDOS）

複数のIPアドレスを利用して標的のWebサイトに膨大な数のアクセスをし、サーバに多大な負荷をかけるサイバー攻撃です。
サーバが許容できるリクエストを超過すると、Webサイトがダウンしてしまうケースがあります。

フィッシング

悪意を持って作られた偽のWebサイトへ誘導し、クレジット情報やアカウント情報を入力させて盗み取る手口です。
偽サイトへの誘導は、主にメールで行われます。
メールの本文も商品・サービスの提供者になりすまして作成されているため注意が必要です。

スピアフィッシング

フィッシングの一種ですが、一般的なフィッシングよりもターゲットに対して最適化されています。
例として、標的が普段からやり取りしているユーザー、利用しているサービスの提供者、取引先などになりすます手口が代表的です。
標的にとって不自然ではない内容を送り、偽のWebサイトへの誘導を狙います。

キーロガー

キーストローク、マウス操作など、ユーザーが操作した情報を不正に取得し、悪用するサイバー攻撃です。
クレジットカード情報や社内の機密情報などが漏えいしてしまう可能性があります。

クレデンシャルスタッフィング

流出したIDとパスワードを用いて、他のWebサイトへの不正ログインを試みる手口です。
「同じID・パスワードの組み合わせを流用しやすい」というユーザーの習慣を利用しています。
botによって膨大な数のWebサイトに対し自動でログイン動作を行うことが特徴です。

中間者攻撃

二者間の通信に割り込み情報を不正に入手する手口です。
フリーの無線LANなど、脆弱性のある通信が標的になります。

総当たり攻撃・逆総当たり攻撃

総当たり攻撃は、ID・パスワードの組み合わせを総当たりして標的アカウントへのログインを試みる手口です。
同じような手口として、逆総当たり攻撃があります。

総当たり攻撃はIDを固定し、パスワードを総当たりすることでログインを試行します。
対して、パスワードを固定し、IDを総当たりすることでログインを試行するのが、逆総当たり攻撃の手口です。
どちらも、専用の不正プログラムを利用して行われます。

ランサムウェア

標的に対して条件をつきつけ、身代金を要求する手口です。
主に、不正に入手した情報の返却・暗号化の解除などを引き換えに身代金を要求します。
「機密情報を公開する」と脅迫するケースもあります。

SQLインジェクション攻撃

不正なSQLを注入（インジェクション）する手口です。
SQLはデータベース用の言語であり、データベースに不正な処理を実行させることを目的としています。

バッファオーバーフロー攻撃

コンピュータのバッファを超えるデータ処理を実行させ、誤動作を意図的に起こさせるサイバー攻撃です。
エラーが起きているコンピュータに不正なプログラムを実行させるケースがあります。

サイバー攻撃による被害

サイバー攻撃による被害は世界中で確認されています。国内の組織や企業が被害を受けることも珍しくありません。

2015年6月には、日本年金機構のシステムサーバが不正アクセスを受け、100万件を超える個人情報が流出する事件が起こりました。
職員が受け取ったメールにマルウェアが仕込まれており、感染した端末からネットワーク経由で広がっていったと考えられています。

民間の企業が被害を受けるケースもあります。
2018年にはECサイト出店サービスが不正アクセスを受ける事件が発生し、出店者や購入者の9万件にも及ぶ個人情報が流出しています。
クレジットカード番号など決済に関わる情報が流出したこともメディアを騒がせました。
直接的な被害だけではなく、信頼性の失墜も間接的な被害といえます。

サイバーセキュリティの最新情報を確認するために

サイバー攻撃は日進月歩で新しい手口が生み出されています。
そのため、最新の情報にキャッチアップすることが重要です。
サイバーセキュリティの最新情報を知るために注目していただきたい組織やサービスをご紹介します。

IPA（情報処理推進機構）

IPA（情報処理推進機構）は、日本のIT国家戦略をサポートしている独立行政法人です。
経済産業省が所管しています。内部に設置されているセキュリティセンターでは、サイバー攻撃に関する届け出を受け付けています。
また、啓発情報の発信にも積極的です。公式Webサイトでは、最新のセキュリティ情報がニュース形式で公開されています。

NISC（内閣サイバーセキュリティセンター）

NISC（内閣サイバーセキュリティセンター）は、日本のセキュリティ対策を牽引する内閣官房の組織です。
2015年1月のサイバーセキュリティ基本法の施行に伴い、前身の内閣官房情報セキュリティセンターを改組する形で誕生しました。
サイバー攻撃事案の分析を行っているほか、基本的なセキュリティ対策を啓蒙する活動も行っています。

IT関連ニュースサイト

よりユーザーに近い目線で情報を提供している民間のIT関連ニュースサイトに注目することも重要です。
セキュリティ関連ニュースをはじめとした国内外の情報がまとめられており、最新情報のキャッチアップに役立ちます。

以下のようなサイトが代表例です。
・@IT（アットマークアイティ）
・ITmedia（アイティメディア）
・TechChrunch（テッククランチ）
・GIZMODO（ギズモード）
・日経 xTECH（クロステック）

サイバー攻撃に対策する心構え

企業はサイバー攻撃に対してどのような心構えを持つべきなのでしょうか。以下では、前提となる2つの心構えをご紹介します。

「ターゲットになり得る」という自覚を持つ

サイバー攻撃で被害にあうユーザーの大半は「セキュリティを意識していないユーザー」「サイバー攻撃について知らないユーザー」です。
ビジネスにもインターネットが活用され、一般にもスマホなどのモバイル端末が普及している現在、ほぼすべての人がサイバー攻撃のターゲットになり得るといえます。
そもそも、セキュリティについてまったく知らない、ターゲットになるという自覚がない、という状況は避けなければなりません。

また、サイバー攻撃について知っていたとしても、自衛の手段まで意識が回っていなければ十分とはいえません。
まずは意識の欠如や知識不足の解消に注力しましょう。

事前に対策を考えておく

サイバー攻撃の被害は直接的なもの、間接的なもの、二次的なものを含めると膨大な領域に及ぶことがあります。
そのため、起こった事件に関して対策を考える対症療法的な取り組みでは意味がありません。事前に対策を考えておくことが重要です。

社内に浸透させる場合も、「起き得るリスクを未然に防ぐため」という意識を定着させましょう。
セキュリティ対策は利益を生み出す施策ではないため、とりわけ予算の確保で苦戦する場面が多いかもしれません。
経営陣を説得する際も、過去の事例の被害額などを伝え、事前対策の重要性を訴えてください。

具体的なサイバーセキュリティ対策

サイバーセキュリティ対策には、具体的に以下の三方向の対策が存在します。

• 技術面での対策
• 環境面での対策
• 物理面での対策

各対策方法について、具体的に解説します。

技術面での対策

ネットワーク経由で起こるリスクを回避するため、セキュリティ対策ソフトなどの導入は必須です。
また、導入後の定期的なアップデートや診断、定期的な見直しなども求められます。
自社で導入から運用までカバーできる場合は問題ありませんが、困難であれば専門業者への相談も検討してみましょう。

環境面での対策

機密ファイルにアクセスする権限の管理や、ID・パスワード管理のルールなど、環境面の対策を整えておくことも重要です。
ヒューマンエラーを防止するための教育も求められます。
また、万が一サイバー攻撃の被害が発覚した場合も迅速に対応して損害を最小限に留めるために、対応手順をマニュアルなどでまとめておくと良いでしょう。

物理面での対策

端末や記憶媒体などの物理的な持ち出しにも警戒する必要があります。
防犯カメラの設置、パスワードや生体認証による施錠など、外部の人間や権限のない社内の人間が端末・記憶媒体に触れられないように対策しましょう。

＊＊＊

サイバー攻撃に対して持っていただきたい意識や具体的な対策についてご案内しました。
スターティアでは、直近のサイバー攻撃に関する資料を提供しています。

また、セキュリティ体制の強化にお役立ていただけるウイルス・スパイウェア対策ソフトもご提供をしておりますのでお気軽にご相談ください。

人気記事ランキング

おすすめ資料ランキング