サイバーセキュリティとは?サイバー攻撃の具体例、対策の施策例を解説
目次
顧客情報の流出やランサムウェアの被害など、企業生命を揺るがすほどのサイバーセキュリティ関連の事件は後を絶ちません。毎日のようにサイバーセキュリティ関連のニュースが流れる今、サイバーセキュリティやサイバー攻撃、対策について理解を深めたい方もいるのではないでしょうか。
よくあるサイバー攻撃の内容やサイバーセキュリティの考え方、実際に対策する際のポイントを知ることで、セキュリティ関連の悩みを払拭できます。
そこでこの記事では、サイバーセキュリティの概論や具体的な脅威例、サイバーセキュリティの具体的な施策例などを紹介します。
サイバーセキュリティと情報セキュリティの違いとは?
サイバーセキュリティは情報セキュリティの一分野です。サイバーセキュリティは情報セキュリティの定義から考えると分かりやすくなります。まずはサイバーセキュリティと情報セキュリティの違いや、サイバーセキュリティの必要性を見ていきましょう。
情報セキュリティのC.I.A.とは?
情報セキュリティは、情報を搾取や改ざんから守り、目的に応じて正しく利用できる状態を維持することです。一般的には情報の機密性(confidentiality)・完全性(integrity)・可用性(availability)を維持することと定義され、これら3つの要素の頭文字を取り「情報セキュリティのC.I.A.」と呼びます。
・機密性:正当な権限を持った者だけが情報にアクセスでき、情報の削除・改ざん・漏えいなどを起こせない状態
・完全性:情報の改ざんや欠落がなく、情報の整合性・無矛盾性・一貫性が維持できている状態
・可用性:必要なときに情報にアクセスできる状態
情報セキュリティにおける脅威とは?
情報セキュリティ対策の対象は多種多様です。他者からの攻撃だけでなく、使用するツールに潜在的にある問題、ヒューマンエラーやシステム障害も危険性の1つと捉えます。主な危険性は以下の通りです。
・マルウェア:ウイルス・ランサムウェア・トロイの木馬・キーロガーなど、情報の窃取・流出や強制ロック・破壊などを目的とした、悪意のあるプログラムの総称
・不正アクセス:Webサイトやファイルの改ざん、パスワード窃取やシステムの乗っ取り、他システムへの攻撃の「踏み台」とすることなどを目的とした悪意のあるシステム侵入
・詐欺などの犯罪:偽サイトに誘導して個人情報の窃取する「フィッシング詐欺」、メールなどで誘導して架空請求する「ワンクリック詐欺」、架空出品でお金を騙し取る「オークション詐欺」など
・事故や障害:ヒューマンエラーによる情報漏えい、システム障害や被災による情報紛失など
・脆弱性:OSやアプリの不具合や設計上のミスによる、セキュリティ上の欠陥
・情報発信のトラブル:WebサイトやSNSによる情報発信で、必要以上に内部情報を公開したり、他者のプライバシー侵害をしたりすること
【関連記事:情報漏えいとは?原因や警戒すべき理由、対策をわかりやすく解説】
サイバーセキュリティとは?
サイバーセキュリティは情報セキュリティの一分野で、端的に表現するとサイバー空間のセキュリティです。つまりコンピュータ・ソフトウェア・ネットワーク・データなどを、サイバー攻撃やその他の脅威から保護することを指します。
サイバーセキュリティにおいても情報セキュリティのC.I.A.に基づき、データの機密性・完全性・可用性を満たすことが基本です。主な脅威にはシステム破壊やサービス停止、秘匿情報の不正取得やデータの改ざん・削除、権限のないアクセスの実行などがあります。
サイバーセキュリティの重要性は高まる一方
近年はインターネットやスマホの利用が当然になり、AI・クラウドサービス・IoT機器などの浸透もあって、社会・ビジネス・消費者の間で世界的なデジタル化が加速しています。
この状況下で日々大量かつ多種多様なデータが生成され、攻撃者とデータの保存場所の接点も増えています。サイバー攻撃の手法も多様化・複雑化している上、攻撃による被害も従来よりも大きくなっていため、サイバーセキュリティの重要性が高まっています。
サイバーセキュリティ上の脅威となるサイバー攻撃の具体例
サイバー攻撃の手法は多様化しています。被害に遭わないためには攻撃の手口を知り、どのようなリスクがあるかを理解することが必要です。主な脅威には以下のようなものがあります。
・パスワードクラック
・システムへの侵入や不正操作
・マルウェア感染
・DoS攻撃
・通信の盗聴や傍受
・標的型攻撃
ここでは、これら6種類の脅威を具体的に解説します。
パスワードクラック
パスワードクラックは、攻撃者がユーザーのパスワードを探し当て、得られたパスワードにより本人になりすましてコンピュータを不正操作する攻撃手法の総称です。主に以下のような攻撃手法があります。
・ブルートフォースアタック(総当たり攻撃):パスワードとして考えられる全ての文字の組み合わせを片っ端から試す、最も原始的なパスワードクラック
・辞書攻撃:辞書に登録してある「人間にとって意味ある文字列」のリストを候補とし、認証の突破を試みるパスワードクラック
・パスワードリスト攻撃:別のサービスで実際に使用されたアカウント名・パスワードを入手・リスト化し、認証情報を使い回しているアカウントを乗っ取るパスワードクラック
システムへの侵入や不正操作
認証を突破する以外にも、不正アクセスの攻撃手法は存在します。このタイプの主な攻撃手法は以下の通りです。
・バックドア:システムの管理者やユーザーに気付かれずに仕込んだ接続窓口を経由し、認証やセキュリティ対策を回避して遠隔操作する攻撃手法
・バッファオーバーフロー攻撃:OSやアプリの入力データ処理に関するバグを悪用して、情報を不正に操作する攻撃手法
・権限昇格攻撃:OSやアプリのバグや設計上の欠陥を悪用して、攻撃者の権限を昇格させることで保護されたリソースへ攻撃する手法
マルウェア感染
マルウェアはプログラムやコンピュータに感染し、不正操作する悪意あるソフトウェアの総称です。プログラムの一部として動作する(プログラムに感染する)ものをウイルスと呼び、単体で動作する(コンピュータに感染する)ものと区別します。主なマルウェアは以下の通りです。
・ウイルス:宿主となるプログラムに自らを感染させ、そのプログラムの一部として不正操作を実行する
・トロイの木馬:有用なアプリやファイルに「偽装」して実行を促し、ユーザーに気付かれないように不正操作を実行する
・ワーム:感染後に自動実行してファイルの流出や破壊、自己増殖と他コンピュータへの感染を繰り返す
・キーロガー:認証情報やクレジットカード情報の入力など、キーボード操作を常時監視・記録する
・ランサムウェア:感染したコンピュータやファイルを強制的にロックし、ロック解除のための身代金(ランサム)を要求するマルウェア
【関連記事:ランサムウェアの感染経路は?最新の攻撃手法や感染対策をわかりやすく解説】
DoS攻撃
DoS攻撃(Denial of Services attack)は標的となるコンピュータやネットワークに大量あるいは不正なデータを送りつけ、正常な処理ができない状態に追い込む攻撃手法です。DoS攻撃に分類される攻撃手法には以下のようなものがあります。
・DDoS攻撃(Distributed DoS):インターネット上の多数の機器から一斉に接続要求を送信し、通信容量や処理能力を飽和状態にして機能不全に追い込む攻撃手法
・EDoS攻撃(Economic DoS):主に従量課金制のサービスを標的として、過大な負荷によって経済的損失を与え、サービス停止に追い込む攻撃手法
・ボットネット:ウイルスやトロイの木馬に感染したコンピュータ群による、攻撃者の命令を待つネットワーク。ボットネットを使ってDDoS攻撃などを仕掛ける攻撃手法がある
通信の盗聴や傍受
通信をユーザーに気付かれることなく盗聴・傍受するサイバー攻撃もあります。これに関する主な攻撃手法は以下の通りです。
・スニッフィング:パケット内容を監視・表示するソフトウェアの悪用やWi-Fiの電波の傍受などにより、ネットワークを流れる情報を解析・盗み見る攻撃手法
・中間者攻撃(MITM/Man-In-The-Middle attack):暗号通信するコンピュータ間に割り込み、公開鍵暗号などを偽情報とすり替えることにより、気付かれることなくデータを盗み見たり改ざんしたりする攻撃手法
・MITB(Man-In-The-Browser attack):コンピュータにトロイの木馬などを感染させ、Webブラウザの通信を監視し、通信内容を改ざんしたり操作を乗っ取ったりする攻撃手法
標的型攻撃
標的型攻撃(スピア型攻撃)は、特定の個人や企業に狙いを定めたサイバー攻撃です。あらかじめ標的企業の情報を収集・分析し、より巧妙に偽装した誘導方法を用いたり、オーダーメイド開発したマルウェアを使用したりします。標的型攻撃の例は以下の通りです。
・スピアフィッシング:特定の個人に狙いを定め、上司や取引先になりすましたメールを送るなどして、システム侵入に必要なパスワードや機密情報を詐取する攻撃手法
・APT攻撃(高度標的型攻撃):継続的かつ多角的な標的型攻撃。システム侵入に成功した後、長期間潜伏し単発の攻撃より深刻な損害を与える攻撃手法
【関連記事:サイバー攻撃の目的や種類とは?脅威とセキュリティ対策をわかりやすく解説】
サイバーセキュリティ基本法と政府機関の取り組み
国を挙げたサイバーセキュリティ対策の取り組みとして、重要な法律がサイバーセキュリティ基本法です。サイバーセキュリティ基本法により、国や政府だけでなく企業のサイバーセキュリティ対策の取り組みも、法的に指針が示されています。
サイバーセキュリティ基本法とは?
2015年1月に施行された「サイバーセキュリティ基本法」は、日本のサイバーセキュリティ対策の根幹を成す法律です。国や政府による責務だけでなく、企業に対してもサイバーセキュリティの努力義務を定めています。
国や企業がサービス停止・情報漏えいなどを起こした場合の社会的影響に鑑み、外部からの電子的攻撃(各種サイバー攻撃)・物理的攻撃(サーバルームへの侵入)や内部犯による機密情報の不正な持ち出しなど、あらゆる状況を想定して対策を講じることが重要です。
サイバーセキュリティに務める政府機関
サイバーセキュリティ基本法に基づき、省庁や関連機関は研究開発・情報発信・人材育成などさまざまな面からサイバーセキュリティの強化に務めています。
・内閣サイバーセキュリティセンター(NISC):サイバーセキュリティ戦略本部の事務局を務める内閣官房の機関
・総務省:「サイバーセキュリティタスクフォース」の開催及び情報発信
・経済産業省:「サイバーセキュリティ経営ガイドライン」などさまざまなガイドラインを策定・公開
・警察庁:「サイバー警察局」を設置し、サイバー空間の治安維持に務める
・国立研究開発法人情報通信研究機構(NICT):総務省所管。「サイバーセキュリティ研究所」を設置し、研究開発・人材育成などに務める
・独立行政法人情報処理推進機構(IPA):経済産業省所管。「産業サイバーセキュリティセンター」による人材育成など、さまざまな取り組みを実施
経営者が指針としたい「サイバーセキュリティ経営ガイドライン」とは?
サイバーセキュリティについて「どこから着手したらよいか分からない」「予算や人材などリソースが足りない」といった経営者に対し、指針を示したものがサイバーセキュリティ経営ガイドラインです。本ガイドラインから、企業が実施すべきサイバーセキュリティ対策の方針を理解できます。
ここでは、サイバーセキュリティ経営ガイドラインが定める「3原則」と「重要10項目」を見ていきましょう。
「3原則」と「重要10項目」をまとめたサイバーセキュリティ経営ガイドライン
経済産業省とIPAは2015年、「サイバーセキュリティ経営ガイドライン」を策定・公開しました。IT企業や経営戦略上IT利活用が不可欠な経営者を対象に、経営者のリーダーシップの下でサイバーセキュリティ対策を実施するためのガイドラインです。
サイバー攻撃から企業を守るために経営者が認識すべき「3原則」と、CISO(Chief Information Security Officer/最高情報セキュリティ責任者)など経営者がサイバーセキュリティ対策責任者に指示すべき「重要10項目」をまとめています。
サイバーセキュリティに取り組む経営者が認識すべき「3原則」の内容
サイバーセキュリティ経営ガイドラインにおける、経営者が認識すべき3原則を簡単にまとめます。
・経営者はサイバーセキュリティを認識し、リーダーシップを発揮して対策を進めること
・自社だけでなくビジネスパートナーや委託先も含めたサプライチェーンに対して対策を講じること
・平時・緊急時にかかわらずサイバーセキュリティのリスクや対策について関係者と適切なコミュニケーション・情報共有を図ること
サイバーセキュリティ対策責任者に指示すべき「重要10項目」の内容
サイバーセキュリティ経営ガイドラインにおける、サイバーセキュリティ対策責任者に指示すべき重要10項目を簡単にまとめると以下の通りです。
・指示1:サイバーセキュリティリスクを経営リスクの1つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定させる
・指示2:既存のリスク管理体制と整合性を取りつつ、サイバーセキュリティリスクの管理体制を構築させる
・指示3:サイバーセキュリティ対策のリソース確保のために、予算確保・人材育成・外部リソース活用を実施させる
・指示4:自社にとってのサイバーセキュリティリスクを把握し、リスクコントロールの計画を策定させる
・指示5:リスクコントロール計画に基づき、防御・検知・分析の仕組みを構築させる
・指示6:計画の実施・改善のために対策をPDCAサイクルとして実施させ、ステークホルダーに対策状況を開示させる
・指示7:インシデント発生時の緊急対応体制として、対応体制整備・関係機関との連携・実践的な演習を実施させる
・指示8:インシデントによる被害からの復旧体制として、復旧対応手順書作成・復旧目標計画策定・復旧対応の演習を実施させる
・指示9:サプライチェーン全体(系列企業・取引先・委託先)の対策状況を把握し、自社対応部分・責任と切り分けさせる
・指示10:サイバー攻撃に関する情報共有活動へ参加し、入手情報の有効活用及び情報提供(情報の相互活用)を実施させる
サイバーセキュリティ対策の具体的な施策例
適切な対策をしなければサイバー攻撃の被害は甚大なものになる恐れがあります。また、ヒューマンエラーによる情報の破壊や漏えいも無視できません。ここでは、サイバーセキュリティ対策の考え方と、具体的な施策例を解説します。
サイバーセキュリティ対策の考え方
サイバー攻撃には標的の調査から目的の実行までのフェーズがあり、それぞれのフェーズでセキュリティ対策をすることが大切です。また、脆弱性やマルウェアはすでにシステム内に存在する可能性がある他、自動的な認証にはリスクがあります。以下3つの考え方を取り入れることで、サイバーセキュリティ対策の具体化が可能です。
・サイバーキルチェーン:サイバー攻撃を7段階のフェーズに分けて構造化し、そのつながりを切断するために先制処置をし、各フェーズの防御力を高める考え方
・脅威ハンティング:脅威に備えてアラートを待つのではなく、脅威がすでに存在することを前提として、潜在的な脅威や侵害を洗い出す防衛活動
・ゼロトラスト:「何も信頼せず検証する」という考え方。一度認証されたユーザーやデバイスを無条件に信頼するのではなく、アクセスの都度、認証・認可をして信頼性を確かめる
【関連記事:ゼロトラストとは?クラウド時代のセキュリティ対策をわかりやすく解説】
基本的な技術的対策
実際にサイバーセキュリティ対策する際、対象となるのがどのような領域であっても、以下のような技術的対策は基本です。
・既存システムの継続的なアップデート
・システムの挙動やユーザーの操作に関するログの監視・記録
・ユーザーに対する適切なアクセス権限の付与とアクセス制限
・データの送受信や保存の暗号化
・IDS(不正侵入検知システム)やIPS(不正侵入防止システム)、ファイアウォールによる境界監視や境界防御
・アンチウイルスソフトなどによるマルウェア対策
・ペネトレーションテスト(擬似アタックテスト)によるセキュリティホールの調査と対処
基本的な人的対策
多くの調査機関が「情報漏えい案件の大部分はヒューマンエラーが原因」としています。マルウェア感染など多くのサイバー攻撃手法も、ユーザーの誤認やセキュリティ意識の欠如を狙ったものです。そこで、基本的な人的対策として以下のようなものが挙げられます。
・データの作成・編集・保存・複製・移動・削除についてルールの策定
・受信メールの取り扱いについてのルール策定
・Webサイト閲覧についての操作法や指針の策定 ・業務における私用デバイスの利用制限
・サイバー攻撃手法についての従業員に対する教育と啓蒙
基本的な物理的対策
攻撃者はネットワーク経由で攻撃を仕掛けてくるとは限りません。重要機器がある場所に侵入し、デバイスの直接操作や破壊・盗難を試みる場合があります。そこで、基本的な物理的対策として以下のようなものが挙げられます。
・入退室管理の徹底
・施錠管理の徹底
・監視カメラの設置
・重要機器の落下防止や耐震強化
CSIRTの設置
「CSIRT(Computer Security Incident Response Team/シーサート)」は、セキュリティインシデントが発生した場合の適切かつ迅速な対処を目的とした組織です。
標的型攻撃やIoT機器を狙った攻撃など、サイバー攻撃の手口が多様化する中、従来のサイバーセキュリティ対策では対応し切れないケースが急増しています。そこで企業内や組織内に、組織を代表するサイバーセキュリティ対策専門のチームとして、CSIRTを設置する動きが活発化している状況です。
セキュリティツールの導入
サイバーセキュリティ関連のセキュリティツールは多種多様で、クラウドサービスに関するものやエンドポイント(ネットワークの終端にあるデバイス)に関するもの、複数のソリューションを統合するものなどがあります。どのような機能を持つものが自社に最適かを明確にし、導入しましょう。
セキュリティレベルの高いビジネスツールの選択
セキュリティツールを導入すると共に重要なことは、高セキュアなビジネスツールを導入することです。深刻な脆弱性のあるツールを使い続けていると、気付かない間にサイバー攻撃の被害に遭う恐れがあります。ツールの採用状況や過去のセキュリティインシデントを調べた上で、より安全なツールを導入しましょう。
【関連記事:クラウドストレージに「Box」が選ばれる理由とは?有料版のメリットを解説】
サイバーセキュリティ対策と利便性を両立するビジネスツールはイッツコム!
イッツコムはVPNハッキングや通信傍受の恐れがない閉域網接続サービス「モバイル閉域接続」、サプライチェーン全体の安全なコンテンツマネジメントができる「Box」、顧客・営業関連情報の安全な一元管理と利活用ができる「ホットプロファイル」を提供しています。これらのサービスを組み合わせることで、サイバーセキュリティ対策と利便性の両立が可能です。
VPNハッキングや通信傍受の恐れがない閉域網接続「モバイル閉域接続」
テレワーク導入などでネットワーク接続をするデバイスの種類や場所が多様化する中、通信傍受・不正アクセスなどのサイバー攻撃や内部からの情報漏えいを防ぐためのネットワークセキュリティ対策は必須といえます。
そこで導入したいのが、シンプルな仕組みによる閉域網接続で、接続デバイスの種類・場所によらずネットワークセキュリティ対策ができる「モバイル閉域接続」です。専用SIMカードをスマホやPCに挿入するだけで、NTTドコモ網とイッツコム網による閉域網を経由し、社内LANへダイレクトアクセスできます。
オンプレミスのVPNサーバを必要としない閉域網接続で、通信の事実すら外部に漏れず、VPNハッキングや通信傍受の恐れはありません。インターネット接続の際は社内LANを経由するため、オフィス側でトラフィック管理ができ、接続場所によらないセキュリティポリシーの標準化にも役立ちます。
サプライチェーン全体の安全なコンテンツマネジメント「Box」
企業が日々扱い蓄積されていく業務ファイルには多数の機密情報が含まれます。ファイルの保存・共有・管理の仕組みが整っていなければ、セキュリティホールが点在した状態です。またサプライチェーン全体での機密情報の管理にも解決しにくい課題があります。
そこで導入したいのが、各国の政府機関や金融機関・医療機関なども多大な信頼を寄せるクラウド型コンテンツマネジメントシステム「Box」です。
容量無制限のクラウドストレージには1,500種類以上のアプリを統合でき、あらゆる業務ファイルを一元管理できる上、社内外ユーザーとの安全なファイル共有及びオンライン共同編集にも対応します。ランサムウェアの感染経路になりがちなメールの添付ファイルや、USBメモリでの受け渡しといった作業も、Boxを導入すれば必要ありません。ログイン・ログアウトやファイル操作などに関する70種類以上のアクセスログ管理も可能です。
さらに、自社だけでなくサプライチェーン全体と安全に情報共有できる上、ステークホルダーがいつどのファイルにどのようにアクセスしたか、機密情報の取り扱いや流れを詳細に把握できます。コンテンツマネジメントをBoxに一本化することで、サイバーセキュリティリスクの早期発見やインシデントの原因特定、素早い復旧対応に大きな効果を発揮するでしょう。
顧客・営業関連情報の安全な一元管理と利活用「ホットプロファイル」
営業部門が取り扱う顧客情報や営業関連情報には多くの機密情報が含まれるため、情報漏えいのリスクを最小限に抑えることが必要です。しかし、名刺の情報を手入力で管理するなど、個人レベルで情報管理をする仕組みではセキュリティホールが点在し、サイバーセキュリティ対策として不十分といえます。
そこで導入したいのが、社内人脈や営業関連情報を安全なクラウド上で一元管理し、営業組織の一体的なマネジメントが可能となるクラウド型名刺管理・営業支援ツール「ホットプロファイル」です。名刺のスキャンやCSVファイルの読み込みだけで顧客データベースを作成し、企業ニュースや営業履歴と関連付け、システム利用者全員で最新情報を共有できます。
システム利用時には暗号化通信によりクラウド上のデータにアクセスするため、通信傍受されても内容を読み取れず、営業担当者のデバイスに機密情報をダウンロードする必要がありません。事前に許可したIPアドレスのみシステムにアクセスできます。また、スマホ紛失時にはモバイルアプリの遠隔ロック/ワイプもできるため、情報漏えいリスクを最小限に抑えられます。
まとめ
ビジネスにおけるデータ活用が進むほど、ヒューマンエラーやサイバー攻撃によるリスクは増し、サイバーセキュリティ対策の重要性は高まります。
サイバーセキュリティ経営ガイドラインが定める「3原則」や「重要10項目」を指針とし、社内外のあらゆるリスク要因を想定して、適切なツール整備によるサイバーセキュリティ対策を講じましょう。
イッツコムなら「モバイル閉域接続」、「Box」、「ホットプロファイル」でサイバーセキュリティ対策のお役に立てます。シンプルなシステム構成で社内やサプライチェーンのリスク要因にも対応できるため、まずはお気軽にご相談ください。
