情シスのかたち

powered by gin

サイバーセキュリティとは?対策の必要性や具体的な対策を紹介!

attack

サイバーセキュリティとは?

パスワードリスト型攻撃やマルウェア感染など、多様化するサイバー攻撃からPCや社内システム内に保存した情報資産を守ることです。情報資産を守るためにセキュリティツールの導入、社員への情報・デバイス機器の扱い方に関して教育の強化、自社のセキュリティ環境の見直しなど、PCやネットワークの状態を安全な状態に保つための対策を行います。

情報資産は顧客情報・従業員の個人情報・技術データなど、企業がこれまで蓄積してきた全てのノウハウや情報データが該当します。情報資産を保護する理由は、犯罪者にとって企業が抱える情報資産は非常に利用価値のある情報ばかりだからです。

例えば、従業員の個人情報をハッキングした場合、クレジットカード情報やオンラインバンキングの情報が盗まれていれば、不正利用やダークウェブに売買することで、多額の金銭を得ることが可能です。

さらに、取引先や顧客データ、自社の商品データなどの機密情報を盗んだ場合、さらに高額の報酬を得ることも可能です。一方、情報資産が流出した企業にとっては、取引先から社会的信用を失い今後のビジネスが大変厳しくなります。

近年は情報漏洩事件が頻繁に起きていることから、各企業が情報漏洩に対して敏感になっています。今後セキュリティツールの導入や人材確保の動きがさらに加速することが予想されます。

サイバーセキュリティの必要性とは?

最も大事な点は内外部からの不正操作を防ぎ、情報資産を守ることです。一度でも情報漏洩が起きた場合、大企業でも立て直しが非常に厳しくなります。また、自社内のシステムやPCをセキュリティインシデントから保護することで、業務停滞を防ぐといった面もあります。

情報漏洩対策

情報漏洩が起きた場合に想定される影響をまとめました。個人情報を扱う商売の企業は取引先だけでなく、消費者からの信頼も失います。

情報流出した場合の企業への影響

狙われる情報資産懸念されるリスク想定される結果
内容
  • 従業員・顧客の個人情報
  • 取引先との業務上のやりとり
  • 顧客情報
  • 技術データ・商品データ
  • 競合他社へ技術・ノウハウが流出
  • 個人情報をダークウェブへ売買
  • クレジットカードの不正利用
  • インターネットバンキングの不正送金
  • 莫大な経済的利益の損失
  • 社会的信用の失墜
  • 市場での優位性低下
  • 企業ブランドの失墜
  • 消費者・社員離れ

システムの保護

犯罪者は情報盗取だけでなく、サイバー攻撃によって企業のシステムを破壊して業務を停止させる場合もあります。個人的な恨みや自身の能力を示したい場合など、様々な動機が想定されます。

サーバーやネットワーク、基幹システムなどがシステムダウンすると業務が停滞し、取引先にも迷惑が掛かります。ビジネス機会を損失するだけでなく、復旧するまでシステム管理者は時間的ロスの発生や業務の負担が増大します。また、DDoS攻撃など複数のPCを乗っ取って犯罪行為に悪用される場合もあるので、注意が必要です。

サプライチェーン攻撃など中小企業も他人事ではない

サプライチェーン攻撃と呼ばれる企業の原料・部品調達~消費者に行き渡るまでの供給網での穴を突いた攻撃が近年増加しています。 過去にはチケット販売大手ぴあやスウェーデンの交通局で大規模な情報漏洩が発生しています。

サプライチェーン攻撃はターゲット企業を直接攻撃するのではなく、取引のある中小企業を起点にして情報盗取やシステムダウンなどを狙います。 犯罪者が中小企業や関連企業を風穴にしてターゲット企業である大企業を狙うのは、取引先の企業を経由した方が目的達成の確率が高いと判断しているからです。

資金的に余裕のある大企業はセキュリティツールの導入や人材確保を行い、年々自社の情報資産を守る仕組みを強化しています。 一方で中小企業は資金的な余裕のある企業は少なく、売り上げを生み出さないセキュリティ分野での投資の優先順位は低く、対策は先送りにされがちです。

犯罪者としても、セキュリティ対策が甘い箇所を狙って攻撃を仕掛けた方がすぐに目標を達成できるため、大企業に比べて情報資産を守る仕組みや意識が低い中小企業を最初に狙う形が増えています。

自社のセキュリティ対策が原因で顧客先の機密情報が流出した場合、取引量の減少・停止は避けられません。 また、場合によっては損害賠償請求をされる場合もあるので、セキュリティ対策を早急に強化していく必要があります。

内部不正対策

サイバー攻撃は外部からだけではありません。社員が不正操作を行い企業の機密情報を盗み出し、多額の金銭的報酬を条件にダークウェブに転売するケースも数多くあります。過去に起きた事例では、アークレイや神奈川県庁、ベネッセなどで情報漏洩が発生しています。

内部犯行の対策の難しさは、社員の行動が隅々まで把握できない点と退職者・関連企業の社員にも目を配らないといけない点です。前者に関してはテレワーク導入によって、自宅やサテライトオフィスといったオフィス以外で仕事を行う機会も増えたため、オフィスへの出勤がデフォルトだった時には機能していた監視の目が無くなりつつあります。

自由度の高い環境で自社に不満があった場合、多額の金銭的報酬と引き換えに情報漏洩に踏み切っても不思議ではありません。給料・社内でのポジションの不満、人間関係のトラブルなど、動機はいくらでもあります。対策としては、情報漏洩を行った場合の企業への影響や個人へ損害賠償が請求される可能性も十分あるといった、教育機会を設けることが大切です。

仮に損害賠償を求められた場合、一個人がすぐに負担できる金額ではありません。社員に一生を棒に振るう行為だと認識させることが重要です。

一方、後者の場合も現役社員と同様に予測することが難しいといった点が大きな障害になります。対策としては、退社した社員のアカウント情報を長期間有効性のある設定にしないこと、退職時に情報漏洩を起こした場合に損害賠償を要求するといった線役所の取り交わし、セキュリティツールの導入などが挙げられます。

サイバーセキュリティに必要な3つの対策とは?

技術的対策、物理的対策、人的対策の3つをバランスよく充実させることが重要です。

技術的対策

セキュリティツールを導入して、不正アクセスサイバー攻撃からデバイス機器やネットワーク機器を保護することです。行うべき対策を全てリストアップすることが大切です。リストアップした対策が自社におけるセキュリティ上の課題であり、犯罪者から狙われやすい弱点だからです。

ただし、全ての対策を一度に行うと業務の停滞や社員への負担増大を招きます。最優先で取り組まなければならないことから、段階的に行いましょう。

技術的対策事例

物理的対策

盗難・災害など物理的要因に対しての対策です。 オフィス内のデバイス機器や紙書類などの保護を厳重化しましょう。

物理的対策事例

  • 防犯カメラの設置
  • オフィスの扉・社員デスクの施錠
  • 出退勤の記録管理
  • オフィスの耐震強化

人的対策

企業の機密情報を扱うときのルール対策が非常に重要です。 曖昧な部分を残してしまうと、情報漏洩のリスクが上昇します。 細かく決めておくことやルールへの認識を高めるための社員への教育機会を設けることが重要です。

人的対策事例

  • USBメモリを利用した業務の持ち帰り時のルール
  • パスワード管理の徹底
  • 情報漏洩やセキュリティ分野の再教育
  • サイバー攻撃マルウェア感染についての教育
  • 被害発生時の報告の徹底

サイバー攻撃の種類とは?

サイバー攻撃マルウェアの一部について紹介します。 自社に足りない部分を補うためにセキュリティツールを段階的に導入して、情報資産を守る仕組みを強化する必要があります。

DDoS攻撃

ターゲット対象のWebサイトやサーバーに対して複数のPCを使って大量のデータを送信して負荷をかけ、システムダウンに追い込む攻撃です。 DDoS攻撃は大量のPCから攻撃を仕掛けるため、攻撃の発信元を掴むことが難しいのが特徴です。

また、通常のアクセスと見分けが付きにくく、特定のアクセスだけを除外するのが困難なことから、企業にとって非常に脅威を与えるサイバー攻撃です。 過去にはスクウェア・エニックスソニーなどが被害を受けています。

対策としては、アプリ版ファイアウォールのWAF(Web Application Firewall)の導入が挙げられます。 WAFはGsuiteやZoomなどWebアプリの脆弱性を狙ったサイバー攻撃を検知し、ブロックします。 ファイアウォールと異なり、シグネチャを活用してアクセス許可の判断を下しているため、ファイアウォールでは防げない攻撃も検知可能です。

シグネチャは、マルウェアサイバー攻撃のアクセスに含まれる特徴的なデータや攻撃の傾向などをデータベース化したものです。 つまり、データベースと比較して不正アクセスか否かを判断しています。 シグネチャは自動更新されるため、最新のマルウェアサイバー攻撃の情報も加味してアクセス許可を判断できます。

また、ログ・レポート機能によって、過去に不正アクセスサイバー攻撃があったかどうかを確認できます。

パスワードリスト型攻撃

犯罪者がユーザーのID/パスワードをハッキングし、ユーザーになりすまして社内ネットワークなどに侵入する攻撃です。 パスワード設定の甘さを突く攻撃で、長期に渡って情報盗取の手段となり続けています。 対策としては、多要素認証の導入やパスワードの設定を複雑なものにすることです。

多要素認証は顔認証や虹彩認証など生体機能、スマートフォンのSMS機能を活用したワンタイムパスワードなど、複数の認証をWebサイトやデータファイルへのログイン時に求めることです。 特に生体認証はコピーや偽造がしづらいため精度の高い認証が実現できることから、銀行のATMやクラウドサービスでのログイン時に使用されるケースが増えています。

また、クラウド上でユーザーのアクセス権やアカウント情報を管理するIDaaS(Identity as a Service)のサービスを提供するベンダーの中には、専用トークンを活用したパスワードレスでの認証も増えています。

そして、手軽にパスワードの流出を防ぐ方法としては、文字数が長くアルファベットや数字、記号などが満遍なく使用されたパスワードを設定することです。規則性を感じさせない複雑なパスワードを設定することによって、ハッキングのリスクを軽減できます。

ランサムウェア

使用していたデータファイルを暗号化して利用できない状態にしたり、PCをロックしたりと突然操作不能な状態に陥れ、元の状態に戻す代わりに多額の身代金を要求する攻撃です。 過去にはWannaCryやBad Rabbit、Oniといったランサムウェアが被害をもたらしています。

ランサムウェアは攻撃の予兆を感じさせず、突然システムを破壊するので非常に対策が取りづらいサイバー攻撃の1つです。対策としては、社員のスマートフォンやPCをエンドポイントと位置づけ、端末内のセキュリティ監視と端末内で異変を感じた場合、脅威を隔離するEDR(Endpoint Detection and Response)の導入が有効です。

また、EDRは感染経路の把握・分析機能も備えているため、自社のセキュリティ上の課題や抜け穴を明確に示し二次災害を防ぎます。

ワーム

バイス機器やOSに不正操作やデータ破壊を目的とするマルウェアの一種です。ワームの特徴は自己増殖が可能なため感染スピードが速く、一度感染するとすぐに症状が出ます。ワームはメールの添付ファイルに忍ばせておくケース、偽装メールの本文に貼ったリンクをクリックすると感染するケースなど、多彩なパターンが想定されます。

内容や文章の言い回しに違和感を覚えた場合はすぐに同僚や先輩に同様のメールが届いていないか確認し、どのような行動を取るべきか判断しましょう。多くの方に届いていた場合は偽装メールである可能性が非常に高いです。

そして、ワームに感染していないか確認する方法として、PCのパフォーマンス低下やメールが自動拡散されていないかなどが挙げられます。

ボット

PCに侵入後、犯罪者から指示された不正操作やサイバー攻撃を繰り返すマルウェアです。 感染した場合、遠隔操作でPCを自由に操作される非常な危険な状態になります。

ボットに感染したPCはゾンビパソコンと呼ばれ、数十万~数百万台集められたゾンビパソコンから構成されたネットワークをボットネットと呼びます。

ボットネットスーパーコンピューター並みのスペックを誇り、DDoS攻撃スパムメールの発信、脆弱なサーバー情報の収集など、犯罪行為に悪用されます。

対策としては、セキュリティソフトやOSの定期的なアップデート、ウイルスソフト導入の他、セキュリティ保護の低いWebサイトへのアクセス制限や不審なメールを開かないといった対策が挙げられます。