サイバーセキュリティの必要性とは?有効な対策を事例から学ぶ

この記事は約8分で読めます。

「水と情報と安全はタダ」ーいまでは誠に信じがたいことですが、かつての日本に蔓延していた価値観です。情報の取り扱いに対する対応がますますシビアになっている昨今では、そんな幻想に浸る暇もないほどいかに安全に情報を守るか、企業としての姿勢が問われています。

今回はインターネットや情報を扱う上で、企業が対応を心がけておかなければならないサイバーセキュリティについて解説します。

サイバーセキュリティとは

サイバーセキュリティとは、企業の資産である機密情報やデータなどを悪意のある攻撃者から防御するために講じる対策のことを指します。

とはいえ、サイバーセキュリティとはあくまで概念であり、説明するのは少し困難です。

要するに、新手のサイバー攻撃が出現すれば新たな対策が必要となり、サイバーセキュリティの定義自体が変わる可能性があるります。
2015年に施行された「サイバーセキュリティ基本法」では、「漏洩」「消失」「毀損」のリスクに対する備えと、システムやネットワークそのものの安全性と信頼性を確保するための対策ができているかどうか、という定義がされています。

サイバーセキュリティによって対策すべき攻撃とは

サイバー攻撃は、企業の情報やデータをあらゆる方法を駆使して仕掛けられます。これより、特に注意が必要なサイバー攻撃について解説します。

DDoS

DDoS」は分散型サービス拒否攻撃ともいわれ、サーバーに過剰な負荷を与える攻撃を仕掛けることでサービスが提供できない状態に陥ります。

複数のIPアドレスから一度に大量のアクセスを集中させることで、サーバーの処理能力をパンクさせて結果的にサーバーをダウンさせるため、特に危険性が高いとされます。

フィッシング

公式サイトや公式メールと見せかけてユーザーをおびき出し、個人情報を盗み取る手口を「フィッシング」といいます。

魚釣りのフィッシングになぞらえて、ユーザー情報を釣り上げるという意味合いからネーミングされています。

キーロガー

キー操作を監視・記録する機能を持つプログラムを送り込むサイバー攻撃を「キーロガー」といい、これによりユーザー名やパスワードなどのログイン情報が抜き取られる危険があります。

被害事例として、中学校のパソコンから写真画像が収奪されたり、ネットバンクから不正出金されたというケースがあります。

ブルートフォース

手当たり次第に、考えられるすべてのパターンや組み合わせを試しながらユーザーのアカウントやパスワードを解読する攻撃手法を「ブルートフォース」といいます。

原始的な手法ではありますが、ツールやソフトを使うことで正解を導き出す性能も高まっているため決して侮れません。

サイバーセキュリティではアナログな対策も必要

攻撃は、何もオンラインに限ったことではなく、意外な盲点をついてアナログ的な手段を用いて行われることもあります。
特に、海外からスパイ天国とみなされている日本は、機密情報が盗み放題だと言わんばかりに常に標的にされています。

例えば、産業スパイが社内に入り込んで、IDやパスワードを窃取してシステムにログインし、データをコピーするといったケースが想定されます。

しかし、最近ではむしろ「社内産業スパイ」と呼ばれる、内部犯行による漏洩や改ざんなどを防ぐための対策が急務とされているようです。これまで、元ソフトバンク社員がロシア人スパイに社内の機密情報を渡していたとして逮捕されるといったケースが存在します。

参考URL:YAHOO!JAPANニュース「機密情報が盗み放題?“スパイ天国”日本の実態…国際ジャーナリスト&元公安警察に聞く」

セキュリティ対策をどれほど充実させたとしても、人間の心のスキをついた攻撃手法は防ぐことが難しく、多くの企業が抱える課題といえます。

最新のサイバーセキュリティの動向

サイバーセキュリティを取り巻く環境は、日々目まぐるしい勢いで変化しています。

予想だにしていなかったサイバーセキュリティによる被害を未然に防ぐためにも、最新の情報は怠ることなく収集しておきたいものです。

そこで、最新動向を知るのに役立つサイトを掲げましたので、ぜひ確認しておきましょう。

独立行政法人情報処理推進機構(IPA)

経済産業省が管轄していることもあり、国が情報セキュリティ対策をどのように推進していくのか、その方向性を知るための情報が満載です。

また、サイト内にある「情報セキュリティ10大脅威 2020」には、「個人」と「組織」に分けてそれぞれ最新の脅威情報がランキング形式で掲載されています。

用語や仕組みについて分かりやすく解説した資料などもダウンロードできるので、セキュリティ対策への理解も深められます。

JPCERT/CC

インターネット上におけるサイバーセキュリティの侵害やサービス妨害等の実例に基づき、再発防止のための助言などを行っています。

脆弱性のあるソフトウェアの情報などを随時取り上げているので、脅威となる最新のセキュリティ情報をチェックするのにおすすめです。

内閣サイバーセキュリティセンター(NISC)

サイバーセキュリティ基本法に基づき、内閣官房に設置されました。

官民一体となった活動に取り組んでおり、活動内容もグループごとに「基本戦略グループ」「国際戦略グループ」「政府機関総合対策グループ」「情報統括グループ」「重要インフラグループ」「事案対処分析グループ」「東京2020グループ」と多岐にわたっています。

国家戦略としてのサイバーセキュリティ政策を把握するのに役立つでしょう。

サイバーセキュリティの対策とは

サイバーセキュリティをより強化するためには、技術、物理、人的な面での3方面から総合的に対策を講じていくことが大切です。

技術面でのサイバーセキュリティ

セキュリティ対策に適した製品を導入し、未然に侵入を防ぐ対処法を実施することが必要になってきます。

例えば、ウィルス対策ソフトの導入IDS(不正侵入検知システム)および IPS(不正侵入防止システム)の導入、脆弱性をカバーするためのソフトウェアの更新セキュリティ診断の実施などの対策が挙げられます。

さらに「情報セキュリティ10大脅威 2020」などを利用して脅威をリストアップし、対策を講じるのも効果的でしょう。

物理面でのサイバーセキュリティ対策

オンライン上の対策というよりも、内部犯行を防ぐために物理的な環境を整えることを指します。

防犯カメラや出入り口のゲート設置警備員の配備、それに生体認証が必要なシステムの導入などが有効な手段といえます。

さらに、重要な書類やデータを参照するには、二重三重の認証ゲートなどを設置するとより効果的でしょう。

人的な面でのサイバーセキュリティ対策

社員にセキュリティに対する意識を高めてもらうための教育であったり、人的なミスで情報を漏洩させないためのルールづくりであったりします。

例えば、社内規定で業務の持ち帰り制限したり、問題発生時の報告体制を確立するなどの対策が有効です。

また、アクセス権限を誰が持つのか、パスワードやIDは誰が管理するのか事前に決めておくことで、万が一、機密情報が漏洩してしまった場合に流出経路の特定や不正利用の発見にもつながるため、しっかりと手を打っておきましょう。

サイバーセキュリティの導入事例

ここではサイバーセキュリティ対策の具体的な施策について解説していきます。

仮想デスクトップ導入で情報漏洩を防止

同社では、育児や介護で仕事の両立が難しくなった社員が休職や退職を余儀なくされる問題に直面して働き方改革が課題となっていたといいます。

そこで、在宅勤務やテレワークに対応するために、場所を問わず業務が行えるような仮想デスクトップ基盤VDI)の構築に乗り出しました。

社外への持ち運びに便利な端末を多数用意するとともに、セキュリティ面での安全性にも配慮しています。

いつ、どんな端末を、どこで使っても、同じデスクトップ環境を利用することができるデスクトップ環境の仮想化を実現しました。

端末にはサーバで処理・実行された結果のみを示し、データを残さないため、マルウェアへの感染や標的型メールなどによる情報漏洩を防いでいます。

なりすまし防止に手のひら静脈認証の技術を採用

パスワードの使いまわしや同じパスワードを使い続ける行為は、サイバー攻撃の標的ともなりやすくセキュリティの観点からは安全とはいえません。

IDやパスワードが盗用されてしまうと、なりすましによる情報漏洩のリスクも高まります。

大規模なクレジットカード情報流出事件の事例をみても、企業の信用やイメージを一瞬にして失うのは目に見えて明らかです。

そこで、同社ではなりすましを防止するため、手のひら静脈認証技術を使った生体認証の仕組みをVDIにも取り入れています。これにより情報漏洩の防止になるほか、煩わしいパスワード入力も不要になります。

マネージドセキュリティサービスでセキュリティ強化

サイバー攻撃の対策として必要な機器やソフトウェアの導入・管理・運用などの業務を請け負うサービスとして注目を集めているのが「マネージドサービス」です。

従業員が誤ってウイルスをネットワークに侵入させたとしても、経験豊富な専門スタッフが迅速に対応してくれます。

もちろん、金額面でのコストはかかりますが、早期に問題が解決されるためリスクの軽減につながり、安心して企業のセキュリティ管理を行うことができます。

まとめ

技術の発展に伴い、今回紹介したDDoSやフィッシング以外にも新たなサイバー攻撃が多発しています。あなたの企業の資産である機密情報やデータが漏洩しないためにも、常に最新の情報はキャッチアップしておきましょう。

一度被害にあうと情報漏洩のリスクはさらに高まります。企業の信用やイメージを失わないためにも、セキュリティ環境を再度見直してはいかがでしょうか。

セキュリティ対策をする セキュリティ技術の導入
LRM株式会社 画像
この記事を書いた人
ISMSやPマーク取得支援・情報セキュリティツールの導入支援を行っている情報セキュリティコンサルティング会社。また、情報セキュリティ特化eラーニングサービス「Seculio」の運営しています。
セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
タイトルとURLをコピーしました