サイバーセキュリティとは?
いま知るべき最新情報と対策

サイバーセキュリティとは?いま知るべき最新情報と対策

サイバー攻撃の脅威が増している昨今、組織やシステムの規模を問わずサイバーセキュリティ対策が必須となっています。年々巧妙化するサイバー攻撃の脅威に備えるためには、サイバー攻撃の最新情報と対策方法を知ることが重要です。

今回は、サイバーセキュリティの概念や現在の主な攻撃手法、またその対策をご紹介します。

1.サイバーセキュリティとは

「サイバーセキュリティ」とは、不正アクセスや情報漏洩・改ざんといったサイバー攻撃を防ぐ対策のことです。ネットワークの重要度が増すにつれてサイバー攻撃も年々複雑化し被害が増えていることから、サイバーセキュリティが注目されています。適切なサイバーセキュリティ対策をおこなうためには、まず攻撃者の攻撃手法を知ることが重要です。

1.1.「情報セキュリティ」との違い

サイバーセキュリティとは

サイバーセキュリティと混同されやすいものとして「情報セキュリティ」という言葉があります。

情報セキュリティは「機密性・完全性・可用性」の3要素を守るために、どのように情報資産を扱うか策定したものです。一方、サイバーセキュリティは情報セキュリティにおける3要素を阻害する原因への対策を施します。3要素の正確性や信頼性を保ったうえでサイバー攻撃を防ぐ対策を取ることになるため、サイバーセキュリティは情報セキュリティの一部と考えられます。

情報セキュリティについては以下で詳しく解説しています。ぜひ併せて参考にしてください。

2.「サイバーセキュリティ基本法」とは

「サイバーセキュリティ基本法」はサイバーセキュリティの重要性が高まっていることを背景に、対策を総合的かつ効率的に推進するための法律として2015年に施行されました。 サイバーセキュリティ基本法では、サイバーセキュリティに関する基本理念、国の責務や役割、体制、および施策の基本事項などが規定されています。

日本政府はサイバーセキュリティを推進する体制を整えるため、「サイバーセキュリティ戦略本部」と「内閣サイバーセキュリティセンター(NISC)」を設立しました。2016年にはNISCの権限強化や「情報処理安全確保支援士」の新設によるセキュリティ人材の確保、2018年には「サイバーセキュリティ協議会」設立による行政機関と重要インフラ事業者との連携をおこなうなど、国家としてサイバーセキュリティ対策を実施するための法改正がおこなわれています。

3.対処すべきサイバー攻撃の例

サイバー攻撃にはさまざまな手法が存在しています。ここでは、現在の主なサイバー攻撃を紹介します。

3.1. 不正アクセス

不正アクセス

ネットワークやシステムなどに、不正にアクセスし情報取得やコマンド実行などをおこなうサイバー攻撃です。 不正アクセスの起点は、ID/パスワードを総当り的に試行して不正ログインを試みる「ブルートフォースアタック」や、辞書に登録されている単語を使用する「辞書攻撃」、ダイレクトメールなどによるフィッシングサイトへの誘導やOSの脆弱性悪用などさまざまです。

不正アクセスを防ぐためには、従業員のITリテラシー向上や脆弱性対策、不正侵入対策など、多角的なサイバーセキュリティ対策が必要になります。

3.2. マルウェア・ランサムウェアへの感染

マルウェア・ランサムウェアへの感染

「マルウェア」はパソコン端末やサーバー機器などにウイルスを侵入させ、不正に情報取得やコマンド実行などをおこなう悪意のあるプログラムです。
「ランサムウェア」はマルウェアの一種で、機器内のデータを勝手に暗号化し、暗号化を解除することを条件に金銭(身代金)を要求します。

マルウェアやランサムウェアの主な感染経路には、標的型攻撃メール、不審なサイトへのアクセス、脆弱性悪用などがあります。対策のためには不正アクセスと同様、多角的なサイバーセキュリティ対策が必要です。

3.3. 標的型攻撃メール

標的型攻撃メール

組織内の特定者宛にマルウェアが添付されたメールを送信し感染を狙うサイバー攻撃です。従来は不特定多数にメールを送信する「スパムメール」が主流でしたが、現在はより判別が難しい「標的型攻撃メール」へと手法が切り替わっています。 標的型攻撃メールは実在の組織を名乗ったりメール本文内に業務情報を盛り込んだりすることで、正しいメールと思い込ませる非常に巧妙な手段です。

標的型攻撃メールを防ぐためには、さまざまな要素からメールの安全性を見分けられるITリテラシーが必要となります。

3.4. サプライチェーン攻撃

サプライチェーン攻撃

「サプライチェーン攻撃」は、サイバーセキュリティ対策が強力な組織を直接狙うのではなく対策が手薄な関連組織を経由して攻撃を仕掛ける、というサイバー攻撃です。取引先など関連組織の情報を悪用し、不正アクセスやマルウェアへの感染を図ります。 サプライチェーン攻撃を防ぐためには、関連組織とのやりとりであっても不用意に信頼しないITリテラシーの高さが必要です。

3.5. フィッシング詐欺

フィッシング詐欺

正規サイトを装った偽サイトに誘導してアカウント情報などを入力させ、不正に情報を取得するサイバー攻撃です。昨今の偽サイトは非常に巧妙になっており、画面表示上は正規サイトとほぼ同じであることが少なくありません。 フィッシング詐欺にあわないためには、サイトのドメインや偽サイトに誘導するメールの差出人のメールアドレスなどから、正規サイトかどうかを見分けられるようになる必要があります。

3.6. 脆弱性攻撃

脆弱性攻撃

システムやソフトウェアの設定ミスや不具合を悪用して不正に情報取得やコマンド実行などをおこなうサイバー攻撃です。 脆弱性攻撃にはデータベースのコマンドを不正に実行する「SQLインジェクション攻撃」や、Webアプリケーションに悪意のあるデータを埋め込みスクリプトを実行する「クロスサイトスクリプティング」など、さまざまなものがあります。

脆弱性攻撃を防ぐためには、ソフトウェアのバージョンを脆弱性の影響がないものに保つことや、セキュリティ診断やペネトレーションテストなどで脆弱性への強度を図り対策をおこなうことなどが有効です。

3.7. DoS攻撃、DDoS攻撃

DoS攻撃、DDoS攻撃

「DoS攻撃」は、Webサイトやサーバーなどに大量のデータを送り付けてサービス不能に追いやるサイバー攻撃です。一方、複数の端末から大量のデータを送り付ける攻撃は「DDoS攻撃」と呼ばれます。DoS/DDoS攻撃自体は不正な情報取得を狙った攻撃ではありませんが、システムのダウンでサービス不能になることで組織としての信頼は損なわれてしまいます。 DoS/DDoS攻撃を防ぐためには、「IPS/IDS装置」や「WAF」「FW」などのセキュリティ機器を活用し不正なデータを遮断する、CDNを導入しキャッシュサーバーで自社サーバーを守る、といった方法が有効です。

4.サイバー攻撃に関する最新情報を収集するには?

サイバー攻撃に関する最新情報を収集するには?

サイバー攻撃は日々新しい手法が生みだされ、巧妙化しています。サイバー攻撃に備えるためには常にアンテナを高く張り、最新情報を収集しておきましょう。

サイバー攻撃に関する最新情報は、内閣サイバーセキュリティセンター(NISC)や情報処理推進機構(IPA)などが発信しています。それぞれTwitterアカウントもあるため、最新情報のキャッチアップに活用できます。

また、脆弱性情報についてはJPCERT/CCやJVNもチェックしておくことがおすすめです。国外製のソフトウェアの脆弱性を迅速に確認したい場合には、米国国土安全保障省(DHS)配下の情報セキュリティ対策組織「US-CERT」などの海外情報も役立つでしょう。

5.サイバーセキュリティ強化のための対策

サイバー攻撃を防ぐためには、サイバーセキュリティの強化が必要です。ここではそのための主要な対策をご紹介します。

5.1. 社内へのセキュリティ教育

社内へのセキュリティ教育

不正アクセスやフィッシング詐欺、標的型攻撃メールなどのリスクを減らすためには、従業員のITリテラシー向上が欠かせません。特に、社内におけるセキュリティ教育は非常に重要となりますので、定期的に実施しましょう。セキュリティ専門の講師を招いて教育するセキュリティ研修や、標的型攻撃メール訓練サービスなどが有効です。

QT PROで提供している、セキュリティのプロフェッショナルによる研修や、実際の攻撃型メールに似た体験でセキュリティ意識を高める訓練といったサービスを活用し、従業員のITリテラシーの向上を図りましょう。

5.2. データの取り扱いルールの策定と徹底

データの取り扱いルールの策定と徹底

どれほどネットワークやシステムのセキュリティ対策を施しても、従業員が自らリスクに踏み込んでしまってはサイバー攻撃を防げません。データの取り扱いルールを明確に定め、厳守しましょう。細かなルール違反の積み重なりが大きなインシデントにつながるため、ルールの徹底と定期的な管理が重要となります。

5.3. システム脆弱性の調査と対策

システム脆弱性の調査と対策

システムやWebアプリケーションの脆弱性は、ソフトウェアのアップデートだけではなくアクセス権や通信許可設定などが原因になることもあり、自組織内だけでは気づけない場合もあります。リスクの元となる脆弱性をなくすために、セキュリティ診断やペネトレーションテストといった外部の診断を定期的に利用し、脆弱性を常に検証することが必要です。

QT PROではシステムやWebアプリケーションの脆弱性を洗い出し対策を提案する、「QT PRO プラットフォーム診断サービス」「QT PRO Webアプリケーション診断サービス」を提供しています。
「QT PRO プラットフォーム診断サービス」はインターネットを介したリモート診断、現地にて対象機器を診断するオンサイト診断を実施します。
「QT PRO Webアプリケーション診断サービス」はインターネットを介したリモート診断を実施します。

5.4. セキュリティ対策ソフトの導入と最新化

セキュリティ対策ソフトの導入と最新化

信頼できないサイトにアクセスしないこと、信頼できないメールは開かないことは鉄則ですが、全従業員に徹底させることは難しいのも事実です。

不審なサイトにアクセスしてしまった際に備えてセキュリティ対策ソフトは必ず導入し、常にバージョンを最新に保つようにしましょう。ただし、ソフトを最新に保つためには頻繁にアップデートをする必要があり、従業員への負担が大きくなります。 できる限り従業員に負担をかけないセキュリティ対策ソフトの導入を検討しましょう。

QT PROでは、世界初のAIエンジン搭載型エンドポイントセキュリティCylancePROTECT®の導入から運用までをお手伝いするサービスを提供しています。アップデートの手間といった従業員の負担を減らせます。

5.5. アクセス権の管理、暗号化技術の導入

アクセス権の管理、暗号化技術の導入

ネットワークやシステムに対しては適切な権限者だけが安全にアクセスできるようにしておくべきですが、昨今ではモバイル端末や社外ネットワークから社内ネットワーク・システムへ接続する場面も少なくありません。そういった場合には、細心の注意が必要となります。社外からのアクセス環境を整える際には、アクセス認証や暗号化通信ができるサービスを選びましょう。

テレワーク、リモートワークをおこなう際のセキュリティ対策については、以下記事で解説しています。

QT PROではモバイル端末から社内ネットワークへの接続を、安全におこなえるようにするサービスを提供しています。

5.6. ネットワークのセキュリティ強化

ネットワークのセキュリティ強化

社外ネットワークからの接続や、拠点間のネットワークセキュリティを強化するならVPNサービスの利用がおすすめです。VPNを利用すれば、トンネリング技術により通信内容の盗み見やデータ改ざんなどを防げます。

QT PROでは、コストや帯域、セキュリティ性など、企業ごとの要件から選べるVPNサービスを提供しています。

6. 「サイバーセキュリティ経営ガイドライン」とは

ITやセキュリティなどに対する投資をどの程度おこなうべきかなど、サイバーセキュリティに関する企画戦略を考える際には、経済産業省の「サイバーセキュリティ経営ガイドライン」が指針となります。サイバー攻撃から企業を守るために経営者が認識すべき「3原則」や、CISOなどの担当幹部に指示すべき「重要10項目」など、サイバーセキュリティにおいて経営者判断の指標となるような事項がまとめられています。

DX推進においてサイバーセキュリティの見直しは重要な項目のひとつです。自社にとって最適なセキュリティ投資をご検討ください。

7.まとめ

まとめ

今回は、サイバーセキュリティの概念や現在の主な攻撃手法とその対策を紹介しました。

昨今のサイバー攻撃は「不正アクセス」や「標的型攻撃メール」「脆弱性攻撃」などさまざまあり、日々新しい手法が生み出されています。これらのサイバー攻撃を防ぐためにはサイバー攻撃の最新情報を収集し、適切なサイバーセキュリティ対策をおこなうことが必要です。

QT PROでは、セキュリティ研修や標的型メール訓練サービス、エンドポイントセキュリティ、VPNサービスなど、自社のサイバーセキュリティ強化をサポートするさまざまなサービスを提供しています。サイバーセキュリティ強化をお考えの際は、ぜひご検討ください。