サイバー空間における脅威や攻撃に対する防御、それらの手段や取り組み全般のこと
サイバーセキュリティとは
サイバーセキュリティとは、サイバー空間をはじめ、デジタル領域への攻撃から被害を防ぐための取り組み全般を指す。基本的な考え方を筆頭に、具体的な手段・方策まで広い範囲で用いられる。インターネットやスマートフォン(以下、スマホ)の普及により、デジタル機器やソフトウェアは日常生活やビジネスの必須アイテムとなっている。一方で、そうした社会情勢の変化に伴って、企業や個人を狙ったサイバー攻撃が急増しているだけでなく、AIなどのテクノロジーが進化した結果、こうした攻撃はより巧妙化・高度化しつつある。
なぜサイバーセキュリティが重要なのか
デジタルシフトが企業活動や事業成長と切り離せない関係となり、サイバーセキュリティの重要性はますます高まっている。万一、サイバー攻撃の被害を受けてしまった場合、事業活動が停止するだけでなく、取引先や顧客に深刻な悪影響を与えかねない。事実、サイバー攻撃による個人情報の漏えいや、サービスの一次停止などの事例は数えきれないほどだ。
経済産業省が発行している「サイバーセキュリティ経営ガイドライン Ver2.0」では、サイバーセキュリティ対策は将来の事業活動・成長に必須の投資であり、そうした投資は必要不可欠かつ経営者としての責務であると論じている。
サイバー攻撃とは何か
サイバー攻撃とは不正アクセスの実行や、機密情報・金銭の窃取といった目的を達成するために行われる犯罪行為である。特に最近では、ランサムウェアなどによる金銭窃取を目的としたサイバー攻撃が増加している。
サイバー攻撃によってマルウェアなどに感染することで、社内システムへ不正アクセスされ、個人情報や機密情報の漏えいに至る。また、Webサイトの管理システムに不正アクセスされてしまうことで、Webサイトの改ざんなどの被害を招く恐れがある。それらの被害は自社だけにとどまらず、顧客や取引先などに及ぶ可能性もあり、社会的な信用を大きく失墜しかねない。サイバー攻撃にはさまざまな手法があるが、一例を挙げると下記のようなものがある。
1)ランサムウェア
ランサムウェアは「Ransom(身代金)」と「Malware(悪意あるソフトウェア)」からなる造語であり、マルウェアの一種とみなされる。感染するとデータが暗号化され、復号のための身代金を要求されるというのが一般的だ。最近では、ダブルエクストーションと呼ばれる、幾重にもわたる脅迫に及ぶケースも出てきている。
2)標的型攻撃
特定の企業や組織を念入りに調べ上げ、その取引先などになりすました偽メールを送付する。メールの添付ファイルを開封、あるいは文面上のURLをクリックすることでマルウェアに感染させるという手口が一般的に知られている。最近では、サプライチェーン攻撃との組み合わせをはじめ、手口もより巧妙化している。
3)リモートワーク環境を狙った攻撃
新型コロナウイルスによって急速に普及したリモートワーク環境を狙ったサイバー攻撃も増加した。リモートワークでの勤務は、社内よりもセキュリティレベルが落ちる傾向にあり、そうした状況を狙った攻撃が増えている。また、リモートワークで利用されるVPNなど、特定の機器やサービスの脆弱性(システム的な弱点)を狙った攻撃も発生している。
4)サプライチェーンを狙った攻撃
サプライチェーンとは商品の仕入れから販売、配送といった一連の事業プロセスのことである。サプライチェーンの中には規模を問わずさまざまな企業が存在し、各社のセキュリティレベルもまちまちだ。そこで攻撃者は、サプライチェーンの中のセキュリティレベルが低い企業を狙って攻撃を仕掛け、大企業や政府機関などへの攻撃の踏み台として利用する。結果的にサプライチェーンに関わる多くの企業に影響を及ぼすことになる。また、ソフトウェアの開発工程にマルウェアを潜伏させるタイプのサプライチェーン攻撃も知られている。
5)ビジネスメール詐欺
ビジネスメール詐欺は取引先や経営者などになりすまし、送金などを促すメールを送りつける手法である。サーバーに侵入し、送受信の履歴をもとに、やり取りに紛れ込んで振込先の変更などを促し、金銭の詐取を行うといった緻密かつ巧妙な攻撃も確認されている。
注意しておきたいのは、サイバー攻撃は外部からの攻撃に限らないという点だ。組織内部の従業員などによる不正アクセスや情報の持ち出し、操作ミスや紛失による情報漏えいなど、悪意の有無を問わず頻繁に起きているのが現状だ。
サイバーセキュリティのための対策
企業がサイバーセキュリティ対策で講じるべき、個別の対策についていくつか例を紹介する。
1)体制の構築
サイバーセキュリティ対策を行うための人員、部門、予算など体制を構築する。専門人材が社内で確保できない場合は、外部パートナーの活用も視野に入れると良いだろう。
2)セキュリティソフトの導入
パソコンだけでなく、スマホやタブレットなど、管理する端末すべてにセキュリティソフトを導入する。企業向けのエンドポイント製品では総合的な対策を一括管理で行えるため、管理者の負担も限定的になる。
3)ソフトウェアのアップデート
ソフトウェアという特性上、脆弱性は必ず生じるものという認識を持ちたい。そのため、脆弱性を修正するためのアップデートは不可欠と考えるべきだろう。そして、サイバー攻撃者は脆弱性が発覚次第、攻撃を仕掛ける傾向があるため、OSやアプリケーションのパッチは配布され次第、速やかに適用するようにしたい。
4)アクセス権限やログの管理
サイバー攻撃は内部犯行によるものも少なくない。開発プロジェクトなど、外部の協力事業者にサーバーやクラウドサービスのアカウントを付与するケースなどでは、プロジェクト終了後に付与したアカウントが放置されるケースもある。こうした緩みが犯行につながるという例は少なくないため、アカウント個々の管理、そして適切な権限の付与などに注意したい。また、何かしら犯行が生じた場合のためにログを取得・監視する体制も築いておきたい。
5)侵入検知・防御の仕組みの導入
ファイアウォールだけでなく、IDS(Intrusion Detection System:不正侵入検知システム)やIPS(Intrusion Prevention System:不正侵入防止システム)といった不正侵入や防御の仕組みを導入する。個別に導入が難しい場合、UTM(Unified Threat Management:統合脅威管理)など複数のセキュリティ機能を1台に集約したソリューションの導入も検討してもよいだろう。
6)規程やルールの整備、従業員への啓蒙活動
サイバーセキュリティに関する社内規程やルールを整備し、周知・徹底する。サイバーセキュリティは従業員一人ひとりがその重要性を理解し、遵守することが重要である。継続的に研修や啓蒙活動を行うことで、適切な理解と行動につなげることを目指したい。