知っておきたいサイバーセキュリティ

不正なアクセスや外部からのサイバー攻撃が世界中で増え続けている昨今、「サイバーセキュリティ」という言葉はニュース等でも大々的に報道されるようになってきました。
しかし、一言でサイバーセキュリティといっても、従来からあった情報セキュリティや社内セキュリティなど混同しやすい言葉も多く、その結果必要な対策が取れていないことも少なくありません。本稿では情報発信や、サービスを提供する側として必要なサイバーセキュリティに関する知識についてご説明します。

  1. サイバーセキュリティとは
  2. サイバーセキュリティの最新動向
  3. サイバーセキュリティに必要な3つの対策
    • 3-1. 技術的対策
    • 3-2. 物理的対策
    • 3-3. 人的対策
  4. まとめ
サイバーセキュリティとは
サイバーセキュリティは、2014年11月に成立した「サイバーセキュリティ基本法」の第2条に定義されています。

■サイバーセキュリティ基本法(平成二十六年法律第百四号)

第二条 この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。

要約すると、お使いのコンピューター(PC)や公開しているWebサイト等への不正アクセスの防止、そして突破された場合は、保存している情報の流出や改ざんの防止をすること。ITの情報に対して機密性・完全性・可用性を維持するためのセキュリティ対策全般のことを意味しています。

サイバーセキュリティの最新動向
今日のサイバーセキュリティをめぐる状況は、日々刻々と新たなリスクや脅威が発生し、著しく変化しています。また、高度に組織化された情報化社会の中では、Webサイトやブログ、SNS等の様々なプラットフォームを通して、今この瞬間にも膨大に増え続けています。

サイバーセキュリティを遵守できていなかった為に起こったインシデント事故は、2017年から2018年にかけては、ランサムウェアの被害、サプライチェーン攻撃、ビジネスメール詐欺の被害拡大、サーバーレス(クラウド)に対する攻撃などが取り上げられています。

このような予想していなかったサイバーセキュリティの被害が発生している状況を顧みると、不安を感じるのは当然のことと言えます。そんな中、必要なことは最新の情報を信頼できる情報源から取得することです。以下のようなWebサイトで最新のサイバーセキュリティの動向をぜひチェックすることをおすすめします。

2-1.情報処理推進機構(IPA)
情報処理推進機構(IPA)とは国内のIT関係の戦略を支えるために設立された経済産業省が管轄する独立行政法人です。IPAのサイトの「情報セキュリティ」のページには毎日のように新着情報やセキュリティ情報が更新されています。国として情報セキュリティ対策をどう進めて行くのか指針となる情報が豊富に提供されています。企業の情報セキュリティ担当者として定期的にチェックしておきたいサイトの1つです。

https://www.ipa.go.jp/security/index.html
2-2.内閣サイバーセキュリティセンター(NISC)
平成26年に成立した「サイバーセキュリティ基本法」に基づき、内閣官房に設置されたのが内閣サイバーセキュリティセンター(NISC)です。組織自体はいくつかのグループに分かれて活動を行っています。サイトでは主に日本政府が開催した会議・会合の活動報告やイベントの情報などを配信しています。サイバーセキュリティに特化した国家戦略の情報を取得するのであれば、NISCのサイトをチェックしたほうがいいでしょう。

https://www.nisc.go.jp/

2-3.JPCERT/CC
JPCERT/CCは実際にインターネット上で発生したセキュリティ攻撃やサービスの妨害などのインシデント情報を公開しています。特にソフトウェアやサービスの脆弱性の情報をいち早く提供している点が特徴です。公開されている情報は、脆弱性を含んだソフトウェアやサービスのバージョン情報や、具体的にどのような影響があるのかなど、詳細に記述されているものです。
このサイトで脆弱性を配信されているソフトウェアやサービスを自社で使用しているかどうかチェックすることで、セキュリティ事故の発生を未然に防ぐことができるでしょう。

https://www.jpcert.or.jp/
サイバーセキュリティに必要な3つの対策
では、具体的にサイバーセキュリティ対策には何が必要なのでしょうか。
一般的に分類される「技術的対策」、「物理的対策」、「人的対策」の3つに関して解説します。

3-1.技術的対策
技術的な対策は、セキュリティ製品の導入や、侵入を防ぐ取り組みの実施を行うことです。
実施するべき対策を出来うる限りリストアップして可視化することも大切です。
全ての対策を即時に実行できない場合もあるので、必要最低限手をつけることができるものから対策を始めましょう。社内でどの対策を実施できるか議論を重ねることで、サイバーセキュリティ対策における問題を再認識することもできます。

<技術的対策の例>
・PCへのウイルス対策ソフトの導入
・IDS/IPSの導入
・WAFの導入
・使用しているソフトウェアの定期的な更新
・セキュリティ診断の実施
・脆弱性を出さないことを意識したシステム作り

社内の取り組みのみで実施出来るものもあれば、外部のサービス・製品を用いるものもあります。自社にとって何が適切であるかを見極めることが重要です。

3-2.物理的対策
物理的対策とは、盗難・災害といった物理的要因に対する対策を指します。
実際に起こりえるかはわかりませんが、万が一のことを想定して、対策を行いましょう。

<物理的対策の例>
・防犯カメラの設置
・社員デスクの施錠徹底
・オフィスの施錠徹底
・入退室記録の管理
・生体認証システムの導入
・耐震強化、耐震設備の導入

3-3.人的対策
人的な対策はセキュリティに対してのルールを設定する対策です。
またルールを設定するだけでなく、社員に遵守してもらうように説明会などの教育も併せて重要となります。

<人的対策の例>
・業務の持ち帰りの制限
・パスワード管理のルール決め
・標的型メールについての教育
・セキュリティ教育の実施
・インシデント発生時の連絡・報告体制の決定

技術・物理・人の3つの対策を実施することでより安全性を高めることができるでしょう。
まとめ
本稿では、サイバーセキュリティについての動向や、どのような対策をするべきか簡単にご説明しました。サイバーセキュリティを理解することは、個人や組織の形が自分を守る為に、必要であることが伝わったのではないでしょうか。
また、自分が被害者ではなく、加害者として他の方に迷惑を掛けてしまうこと。サーバーやパソコンに対しての攻撃だけでなく、メールやメッセージによって直接騙されたり、被害を受けたりする可能性もあるということ。
自分は騙されないと思っている方、自分は被害に会わないだろうと考えている方ほど、悪意のある第三者からの攻撃を受けた時に被害に遭いやすいことも念頭においていただければ幸いです。
セキュリティ人材不足が叫ばれている中では、常日頃からwebの情報はもちろん出来うる限りの情報収集を行い、どんな手口があるのか、自分の所持するパソコンやスマートフォンは最新の状態なのか、少しずつ意識することも大切です。