サイバーセキュリティとは?初心者でも分かる基礎知識を解説!
サイバー攻撃を受け、情報漏洩やシステムの破壊などが生じれば、企業の信頼は大きく損なわれます。こういった脅威から自社をどう守れば良いのかと近年、サイバーセキュリティへの関心が高まっています。
そこで今回は、企業がさらされている主な脅威や対策について詳しく解説します。
サイバーセキュリティとは?
サイバーセキュリティとは、パソコンやインターネットを利用する際に大切な情報が漏洩したり、破壊されたりしないようにする防衛策です。
セキュリティを脅かす不正アクセスやマルウェアなどによる攻撃をインシデントといいます。そして、このインシデントが起こらないようにするにはサイバーセキュリティへの取り組みが欠かせません。
代表的なサイバー攻撃の手法
ここでは、サイバー攻撃のさまざまな手法についてお伝えします。数多くの攻撃手法が日々増えていますが、どれも人ごとでは済まされない攻撃ばかりです。
マルウェア
インターネットで世界中が結ばれ便利になりましたが、一方でマルウェアが猛威を振るっています。マルウェアとはユーザーが意図していない動作をするソフトウェア全般のことです。
マルウェアは、他のプログラムに伝染するコンピューターウィルス、伝染せず自己増殖するワーム、役立つと見せかけて不正動作をするトロイの木馬などがあります。マルウェアの主な感染経路としては次のものがあります。
- 電子メール経由
- WEBアクセス経由
- ネットワークアクセス経由
- メディア経由
電子メール経由というのは、マルウェアを含む添付ファイルより感染します。WEBアクセス経由はブラウザで閲覧中に、WEBサイトに仕込まれたマルウェアをダウンロードして感染します。
ネットワークアクセス経由は社内ネットワークのことで、社内の複数のPCに感染します。メディア経由はUSBメモリやDVD-ROMなどです。
パスワードクラック
パスワードクラックとは、パスワードを見破って不正侵入することです。これによって個人情報や企業情報が盗まれたり、システムやデータが破壊されます。典型的な手法としては下記のようなものがあります。
- 類推攻撃
- 辞書攻撃
- ブルートフォース攻撃
類推攻撃というのは、ユーザーの情報を元に攻撃者がパスワードを類推するという古典的な方法です。パスワードを名前、生年月日、出身校などから推定しパスワードの突破を試みます。
辞書攻撃は辞書にある単語を入力してパスワードの突破を試みます。ブルートフォース攻撃がおこなわれる前に、辞書攻撃をおこなうことが多いです。
ブルートフォース攻撃は、可能な組み合わせをしらみつぶしにすべて試す方法です。別名、総当たり攻撃といいます。通常、効率が悪いため人間が操作すれば面倒で諦めてしまいますが、それをコンピューターにやらせることでパスワードの突破を試みます。
不正アクセス
不正アクセスというのはネットワークを通じて、社内の機器に接続し、本来認められていない操作をすることです。不正アクセスには次の2種類があります。
- 侵入行為
- なりすまし行為
侵入行為はソフトウェアの脆弱性、つまり攻撃しやすいポイントを悪用しコンピューターに不正侵入することです。なりすまし行為は、攻撃者が何らかの方法を使って正規のパスワードを取得し侵入することです。
DoS攻撃(ドス攻撃)
DoS攻撃とは連続してサーバーに通信し、サーバーをパンク状態に陥らせる行為です。攻撃側1台に対して、相手が1台のサーバーの場合DoS攻撃といいますが、攻撃者が複数台になった場合はDDoS(ディードス)攻撃といいます。
DoS攻撃やDDoS攻撃の場合、自身のおこなった攻撃の痕跡を残さないように、踏み台と呼ばれる第三者のネットワークを経由して攻撃を仕掛けることが多いです。
メールボム
メームボムは、特定の人に対して大量のメールを送りつけたり、容量の大きな添付ファイル付きのメールを送ることです。
メール受信者側は、処理が追いつかなくなりシステムダウンします。迷惑メールは不特定多数の人に対してメールを送るのに対して、メールボムは特定の対象者のみに送りつけます。
企業におけるサイバーセキュリティの導入プロセス
サイバーセキュリティの脅威から企業を守るためには何から取り組むべきでしょうか。具体的な手順としては次の3つがあります。
- 自社のセキュリティポリシーを定める
- サイバーセキュリティチームを結成する
- PDCAサイクルを回す
順番に解説します。
Step1.自社のセキュリティポリシーを定める
セキュリティポリシーは、企業のセキュリティに関する方針・基準を記した文章のことです。セキュリティポリシーは次の3つの文章校構成で決めることが典型的です。
| 文章構成 | 内容 |
| 基本方針 | なぜセキュリティに取り組むのかについて記述します。社会的背景や法令順守の観点からその必要性を説く宣言文のようなフォーマットです。目的・方針・適用範囲などについて記述します。 |
| 対策基準 | ここでは何をするのかということについて記述します。守るべきルールや規定です。たとえば、事故が生じたときの対応規定などです。 |
| 実施手順 | マニュアル文章に近いもので、どのようにセキュリティを実施するのかを記述します。利用手順書や事故が起こった場合の対処手順などを記します。 |
Step2.サイバーセキュリティチームを結成する
サイバーセキュリティは組織全体で取り組む必要がありますが、その中でも中心となって推し進めるチームを設立することが肝心です。
また、セキュリティに関するガイドライン等を会社全体に浸透させるためにも、サイバーセキュリティチームには、経営層の積極的参加も欠かせません。
Step3.PDCAサイクルを回す
サイバーセキュリティの取り組みは継続的なものです。そのため、PDCAサイクルをチームが中心となって進める必要があります。
具体的には次のような業務を進めます。
| PDCAサイクル | 業務内容 |
| Plan(計画) | 問題点を整理。目標を立て、その目標を達成するための計画を立てます |
| Do(実施) | 計画に沿ったセキュリティ対策を実施していきます |
| Check(点検・監査) | 業務が目標を達成しているのか確認します |
| Act(見直し・改善) | 評価を元に業務内容を改善します |
サイバーセキュリティに関する法律
企業のセキュリティ管理者は、関連する法律を理解しておく必要があります。すべてを把握することは困難ですが、重要なものだけでも目をとおしてください。
サイバーセキュリティ基本法
国家レベルでサイバーセキュリティ対策を強化する体制を整える為の法律です。対象者ごとに次のことを定めています。
| 対象 | 内容 |
| 国・地方公共団体 | サイバーセキュリティの施策を策定・実施する責務がある |
| 重要社会基盤事業者・サイバー関連事業者 | サイバーセキュリティの確保に努める義務がある |
| 国民 | サイバーセキュリティの確保に必要な注意を払うよう努める |
刑法
刑法には、サイバーセキュリティに関する罪が記載されています。例えば次のようなものがあります。
| 罪名 | 例 |
| 不正指令電磁的記録に関する罪 | マルウェアを作成する |
| 電子計算機使用詐欺罪 | なりすまし。データの改ざん |
| 電子計算機損壊等業務妨害 | デーの破壊や業務を妨害する |
不正アクセス禁止法
ネットワーク経由で、コンピューターに不正アクセスする行為を処罰する法律です。例えば、他人のID・パスワードを無断で使用して、不正アクセスを試みる行為やセキュリティホールを突いた侵入攻撃などが該当します。
個人情報保護法
企業が個人情報をどう取り扱うかということを定めた法律です。この法律の中で企業は個人情報の漏洩を防ぐために、サイバーセキュリティ対策をおこなうよう定められています。
サイバーセキュリティを実施する際の注意点
サイバーセキュリティを効果的に進めるためには、次のポイントに注意して実施してください。
セキュリティ診断をおこなう
企業や団体が使用しているアプリケーションに脆弱性がないか、あるいはITシステム全体に問題が生じていないかをチェックすることをセキュリティ診断といいます。
セキュリティ診断には主に次の2つのタイプがあります。
- リモートタイプ
- オンサイトタイプ
インターネットを通した外部からの脅威に備えられているかを診断するのがリモートタイプです。オンサイトタイプは、社内ネットワークのセキュリティ診断のことです。
自社がどちらの脅威にさらされているのかによって、適切な診断をおこなってください。
知見をためる
重大な事故の陰にはたくさんの軽微な事故があります。これをヒヤリハットといいます。1件の重大事故の陰には29件の軽微な事故があり、さらにその陰には300件のヒヤッとしたトラブルがあるというものです。
セキュリティにおいても重大なトラブルを起こさないよう、29件の軽微なトラブルやヒヤッとした問題に目を配りその知見をためていくことが肝心です。
サイバーセキュリティの最新課題と対策
ここではサイバーセキュリティに関する最新課題と対策についてお伝えします。
スマートフォン
近年では従業員にスマートフォンやタブレットを配布するということがあります。個人がそれぞれの端末を管理する事が多いため、情報漏洩やサイバー攻撃の標的になりやすいです。
具体的にできる対策としては、パスワードの設定、バックアップ、使用するアプリの制限などが考えられます。
クラウドサービスのリスク
電子メールやストレージ、財務関連のアプリケーションなど、近年はさまざまなものがクラウドサービスとして利用することができます。
しかし、社内情報を外部に預けることになるためサイバー攻撃の標的になりやすく、障害が生じればデータが破損したり漏洩したりするリスクがあります。セキュリティを外部の企業に依存せず、自社でも対策を施すことが重要です。
サイバーセキュリティによくある質問(Q&A)
ここではサイバーセキュリティに関するよくある質問と答えを取り上げます。
Q:ビジネスメール詐欺とは?
Answer)会社の役員や取引先になりすまし、従業員に対してメールを送ることです。多くの場合、従業員を攻撃者が管理する口座へ誘導し、会社のお金を振り込ませるなどの方法で現金を盗みます。もっとも多いのは、経営者になりすまし、財務担当者にメールを送るというパターンです。
Q:スマートフォンを従業員に配布した際の注意点は?
Answer)インストールするアプリを制限することが必要です。有名なアプリや便利なアプリであっても、会社の定めたアプリ以外は利用禁止にしてください。
Q:セキュリティの問題が発生した場合、重要なことは?
Answer)セキュリティの問題を100%抑えるのは難しいものです。そのため、もし被害が起こったときは、その被害を最小化させることが肝心です。
そのためには、セキュリティ基本方針を定め、問題発生時の対処方法を定めておく必要があります。そうすることで問題が発生してから解決するまでの時間、つまりインシデントレスポンスを短くすることができます。
企業が緊急時に備えて決めておかなければいけないものには、主に次の3種類があります。
| 事業継続計画 | サイバー攻撃の被害後、業務の基幹部分を継続させるための対応計画 |
| 緊急時対応計画 | 被害拡大の対策や早期の復旧を目的とした計画 |
| 事業継続管理 | 事業継続計画の導入・運用・改善をおこなうマネジメント |
Q:セキュリティを高める方法について近年の傾向は?
Answer)以前は外部からの攻撃にはファイアウォールで対応し、内部ではウィルス対策ソフトというのが定番でした。
しかし、攻撃方法が多様化してきたため、1種類の防御では十分ではなくなりました。そこで、多層防御という考えが広がっています。つまり、複数の方法を活用しセキュリティレベルを上げることに取り組んでいます。
Q:セキュリティに詳しい社員が不足。アウトソーシングは可能?
Answer)可能です。セキュリティ確保を目的とするアウトソーシングには、単純にWEBサイトの攻撃監視や管理をおこなうものや、セキュリティポリシーの策定を含んだサービスまでさまざまです。
また、仮にアウトソーシングして、セキュリティ対策をおこなったとしても、100%完全な方法はありません。そのため、情報漏洩などの問題が起こった場合の保険なども検討してください。
まとめ
今回は、サイバーセキュリティについてお伝えしました。サイバーセキュリティは組織全体で取り組むものです。普段から社員の意識向上に努めてください。そして、今回の記事を参考にセキュリティを高めることで、リスクを最小限にすることが可能です。
この記事の監修者
日本大学法学部卒業、広告代理店で12年間働いている間、SEOと出会い、SEO草創期からSEO研究を始める。SEOを独学で研究し100以上のサイトで実験と検証を繰り返しました。そのノウハウを元に起業し現在、11期目。営業、SEOコンサル、WEB解析(Googleアナリティクス個人認定資格GAIQ保持)コーディング、サイト制作となんでもこなす。会社としては今まで2000以上のサイトのSEO対策を手掛けてきました。
