-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
ネットワークを介してさまざまな情報をやり取りするようになった現代において、年々増加しているサイバー攻撃による被害件数や被害額は、無視できない規模になっています。インターネット上のさまざまな脅威から身を守るためには、コンピュータやサーバ、データなどを保護するサイバーセキュリティの強化が欠かせません。
本記事ではサイバーセキュリティの概要、企業で起こり得るリスク、効果的な対策について詳しく解説します。サイバーセキュリティの強化を検討している企業の方は、ぜひ参考にしてください。
サイバーセキュリティとは?
サイバーセキュリティとは、ネットワークを通じて行われるサイバー攻撃から、デジタル機器やデータ、重要な情報などを守る手段や対策のことです。
IT化が進んだ現代では、いつでもどこでも情報にアクセスできる一方で、ネットワークを介しているためサイバー攻撃の標的となるリスクも高まっています。米連邦捜査局(FBI)の発表によると、2022年におけるサイバー攻撃の被害額は約1兆4,400億円(1ドル=140円換算)で、前年の約9,600億円を大幅に上回りました。
サイバー攻撃は年々巧妙化・高度化しており、被害件数・被害額は今後も増加することが予想されます。企業におけるインターネットの安全性を高めるには、下記3つの状態を確保してサイバーセキュリティを強化することが重要です。※1
| 機密性 | アクセス権限があるユーザだけが情報にアクセスできる状態 |
|---|---|
| 完全性 | データが改ざん・消去・破壊されていない状態 |
| 可用性 | アクセス権限のあるユーザが、必要なときに中断することなく情報にアクセスできる状態 |
サイバーセキュリティのリスクと最近の動向
効果的にサイバーセキュリティを強化するには、企業で起こり得るリスクを理解し、未然に防ぐための対策の検討が必要です。ここでは、企業で発生しやすいリスクと、近年注目を集めている手口を詳しく紹介します。最近の動向を押さえてサイバーセキュリティの対策に生かしましょう。
企業で起こり得るリスク
企業で起こり得るサイバーセキュリティのリスクには、以下のようなものがあります。
- 不正侵入やハッキングにより社内ネットワークに侵入され、データが盗まれる
- システムやサーバに不具合が生じ、サービスが停止する
- ヒューマンエラーや内部不正により、社内データが外部に漏えいする
- 端末がウイルスに感染し、社内全体に広がる
- 自然災害により、データが破損・消失する
企業は個人情報や機密情報を保有しているため、攻撃に遭うと自社だけでなく取引先やサービスの利用者にも影響が広がります。
被害を未然に防ぐには、情報セキュリティポリシーの策定、セキュリティ対策ツールの導入、利用者の認証設定、社員へのセキュリティ教育など、サイバーセキュリティを強化するためのさまざまな対策を実施する必要があります。
サイバーセキュリティ基本法
サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め、国の責務等を明らかにし、サイバーセキュリティ戦略の策定その他当該施策の基本となる事項などを規定する法制度として、サイバーセキュリティ基本法が、2014年11月に成立しました。※2
リスクが高まっている自動車サイバーセキュリティ
近年、サイバー攻撃の標的として注目されているのが自動車です。
事故の際に自動で通報する機能や、車両の位置を特定する機能など、ネットワークを介した便利な機能を持つ自動車が増えています。しかし、ネットワークを利用しているため、サイバー攻撃の対象となる可能性も高まっています。自動運転が搭載された自動車がハッキングされれば、走行中の動作を制御できなくなり、事故に直結する恐れもあるでしょう。
自動車を標的としたサイバー攻撃を防止するため、国連欧州経済委員会は対策を義務付けた「UN-R155」というサイバーセキュリティ法規を策定しました。日本でも2021年1月に導入され、徐々に規制適用が始まっています。2022年7月にOTA(無線通信経由での受送信)に対応した新型車、2024年1月に無線通信に未対応の新型車の生産に法規が適用されました。2024年7月にはOTA対応の継続生産車、2026年5月にOTA未対応の継続生産車にも法規が適用される予定です。
企業が意識すべきサイバーセキュリティ
本章では被害に遭いやすい企業の特徴をもとに、サイバーセキュリティを行う上で重要なセキュリティの考え方を解説します。セキュリティ対策を行う際のポイントも紹介するため、ぜひ参考にしてください。
被害に遭いやすい企業の特徴
サイバー攻撃の被害に遭いやすい企業は、以下のように考えている傾向があります。
- 外部からのサイバー攻撃にのみ対策すればいい
- 既知のリスクに備えておけば万全
- 基本的な対策をしておけばどのような攻撃手法にも対応できる
- 自社の業界・企業規模なら攻撃対象とならない
このようにサイバーセキュリティの重要性を甘く見ていると、被害に遭う可能性が高まるでしょう。
被害の防止に役立つ考え方の1つに、ゼロトラストセキュリティがあります。ゼロトラストセキュリティとは、社内外すべての通信を信頼しないことを前提に、セキュリティ対策を行う考え方です。
クラウドサービスやテレワークの普及、デバイスの多様化に伴い、情報の境界線は社内・社外の2つに限定できなくなっています。そのため、特に現代では社内か社外かを問わず、あらゆる通信が侵害されることを想定するゼロトラストセキュリティに基づいた対策が必要です。
セキュリティ対策のポイント
セキュリティ対策にはさまざまな種類があります。攻撃のスキを作らないようにするには、以下に挙げる対策を実施して網羅的にセキュリティを強化することが重要です。
| 対策 | 概要 |
|---|---|
| ネットワークセキュリティ | ネットワークに接続しているサーバやコンピュータなどのデバイスやシステムと、それらに格納されている情報をサイバー攻撃から守る |
| アプリケーションセキュリティ | オンプレミスやクラウドで稼働するアプリケーションの保護や、アプリケーションを狙ったサイバー攻撃の防止、アプリケーションの設計の欠陥や脆弱性を防ぐ |
| クラウドセキュリティ | クラウド上に保管されたデータを暗号化し、部外者が閲覧できないようにする |
| 情報セキュリティ | 個人情報や機密情報を守り、データの改ざんや漏えいを防ぐ |
| モバイルセキュリティ | スマートフォンやノートパソコンなどのモバイル端末を適切に管理し、保護する |
| 事業継続計画(BCP) | サイバー攻撃や災害などに遭遇したときのために、損害を最小限に抑える対応を記載した計画書を作成する |
| ユーザ教育 | 不審なメールは開封しない、私用のデバイスをコンピュータに接続しないなど、ユーザのセキュリティ意識を向上させる教育を実施する |
サイバー攻撃の代表的な攻撃手法
サイバー攻撃の代表的な攻撃手法を6つ紹介します。攻撃手法を知っておくと、どの対策を優先的に実施すべきか検討しやすくなるため、しっかり確認しておきましょう。
マルウェア・ランサムウェア
マルウェアとは、コンピュータに害を与えることを目的に作成された悪意あるソフトウェアの総称です。業務上のやり取りを装ったメールの添付ファイルを開いたり、不正なURLをクリックしたりすることで感染します。
主なマルウェアの種類は以下の通りです。
| マルウェアの種類 | 概要 |
|---|---|
| ランサムウェア | データを暗号化・ロックし、復旧と引き換えに身代金を要求する |
| トロイの木馬 | 無害なソフトウェアを装ってダウンロードさせ、データの破壊や情報の盗取を行う |
| スパイウェア | ユーザに気づかれないように情報を取得し、外部へ流出させる |
| アドウェア | 偽の警告文を大量に表示したり、広告を悪用して不正なWebサイトに誘導したりする |
| ボットネット | 大量のコンピュータをマルウェアに感染させ、ネットワーク化したもの |
マルウェアの中でも近年特に増えているのが、ランサムウェアによる被害です。独立行政法人 情報処理推進機構(IPA)が発表した『情報セキュリティ10大脅威 2024』※3によると、組織向けの脅威で社会的な影響が最も大きかったのが「ランサムウェアによる被害」でした。
マルウェアに感染すると、ログイン情報やクレジットカード情報が盗まれたり、データを悪用されたりするリスクがあるため注意が必要です。
フィッシング詐欺
フィッシング詐欺とは、攻撃者が実在するWebサイトを模倣して偽サイトを作成し、メールやSMSで誘導して情報を盗むサイバー攻撃です。個人情報の盗取や金銭的損失などの被害に遭うリスクがあります。
また偽のWebサイトが出回って顧客が被害に遭ってしまうと、自社への信頼が失われ、ブランドイメージが低下する恐れもあります。
SQLインジェクション
SQLインジェクションとは、不正なSQL文を送信し、データの盗取や改ざんを行うサイバー攻撃です。企業が保有する個人情報やクレジットカード情報が流出したり、一時的にWebサイトが閉鎖したりする被害が数多く報告されています。
攻撃者は脆弱性が潜むWebサイトを探して攻撃を仕掛けるため、脆弱性を放置していると標的になるリスクが高くなります。
DoS・DDoS攻撃
DoS攻撃とは単一の攻撃元から、インターネットに接続された標的サーバに過剰なデータを送信し、システムを停止させることで、正規のユーザがサービスを利用できないようにする攻撃手法です。
さらに、DoS攻撃の一形態として、複数の攻撃元の存在を前提とし、例外はあるものの基本的には多数のコンピュータを使って大量のデータを送信する手法を「DDoS(Distributed Denial of Service attack)攻撃」と呼びます。DDoS攻撃は、複数のIPアドレスから対象のサーバやコンピュータに大量のデータを送信し、過剰な負荷でサービスを停止させます。サービスが停止すると本来得られたはずの利益が失われ、サービスを利用するユーザからの信頼も失われるリスクがあります。
攻撃者は他人から乗っ取ったコンピュータを使って攻撃するため、攻撃の首謀者を見つけるのが困難です。またDDoS攻撃のアクセスは通常のアクセスと見分けづらく、DDoS攻撃のアクセスのみを排除するのも難しいといわれています。
DoS・DDoS攻撃の目的は競合サイトへの妨害や金銭目的の脅迫、コンテンツに対する抗議だといわれています。攻撃を受けるとWebサイトにアクセスできなくなるため機会損失につながり、ユーザからの信用も低下します。
中間者攻撃
中間者攻撃とは、二者同士の通信に悪意ある第三者が割り込み、通信の盗聴やデータの改ざんなどを行うサイバー攻撃です。二者同士のやり取りが筒抜けになり、情報漏えいや通信妨害の被害だけでなく、口座情報や暗証番号が盗まれて不正送金の被害に発展することもあります。
中間者攻撃では、公共施設の無料Wi-Fiや脆弱性のあるWebサイト・アプリケーションを悪用して攻撃が行われます。攻撃者は通信を盗聴するために長い期間をかけて入念に準備するため、被害に遭ったことに気付くのが遅れるケースが少なくありません。
内部脅威
内部脅威とは、自社の社員やビジネスパートナーがアクセス権を悪用して、組織の重要な情報やシステムに不利益をもたらすことです。金銭的利益や嫌がらせなどを目的に悪意を持って脅威を引き起こすケースと、ヒューマンエラーや知識不足などの過失で脅威をもたらすケースがあります。
前述の情報セキュリティ10大脅威 2024の[組織編]によると、組織を狙った脅威において「内部不正による情報漏えい等の被害」が第3位、「不注意による情報漏えい等の被害」が第6位でした。内部脅威による被害件数は多いため、外部脅威へのセキュリティ対策だけではサイバーセキュリティは不十分といえます。
サイバーセキュリティを強化するための対策
本章では、サイバーセキュリティの強化に役立つ対策を5つ紹介します。いずれも基本的な対策のため、実施していないものがあれば速やかに実施を検討しましょう。
OSやソフトウェアを定期的に更新する
サイバー攻撃を防ぐには、OSやソフトウェアを定期的に更新し、脆弱性がない状態を維持し続けることが大切です。脆弱性を放置したままにすると、サイバー攻撃の標的になるリスクが大幅に上がります。
OSやソフトウェアの開発元は脆弱性が見つかり次第プログラムを修正するため、パッチが配布されたら速やかに適用しましょう。
推測されにくいパスワードを設定する
単純な文字列や企業名・創立年などを含んだパスワードは解析されやすいため、推測が難しい複雑なパスワードを設定しましょう。パスワードはアルファベットの大文字・小文字、数字、記号を組み合わせた10桁以上のものが望ましいです。
また設定したパスワードは、他のシステムやサービスで使い回さないよう注意喚起してください。
ウイルス対策ソフトを導入する
ウイルス対策ソフトを導入するとマルウェアを検知・排除してくれるため、コンピュータを脅威から保護できます。また、ウイルス対策ソフトは以下のような機能も備えています。
- 不審なメールが受信された場合に警告文を出す
- 社内データの持ち出しを制御する
- 不正なWebサイトへのアクセスを制限する
近年は、既知のマルウェアだけでなくEDR (Endpoint Detection and Response)をはじめ、振る舞いを検知することで未知のマルウェアも検出できるウイルス対策ソフトもあります。マルウェア感染の被害件数は多く、今後も新たなマルウェアが台頭する可能性も否定できません。ウイルス対策ソフトはサイバーセキュリティを強化する上で欠かせないツールだと認識し、導入を進めましょう。
IAMを導入する
IAM(アイアム/アイエーエム)とは、システムやサービスを利用するためのアカウントを統合管理するための仕組みです。
シングルサインオンや多要素認証などの機能が備わっており、不正アクセスやなりすましを防ぐ際に役立ちます。アカウントを1個にまとめられるためID・パスワードの管理が楽になり、利便性が向上するのがメリットです。
また「誰が・何を目的に・どのような操作で」アクセスするのか都度確認できるため、ゼロトラストセキュリティの実現にも役立ちます。
社員のセキュリティ意識を高める
内部脅威を防ぐのに重要なのが、社員のセキュリティ意識を高めることです。社内でセキュリティ研修を実施し、以下のような内容を周知するといいでしょう。
- スマートフォンやUSBメモリなどの私物を社内端末に接続しない
- 心当たりのないメールのURLを開かない、ファイルを開封しない
- 公共施設の無料Wi-Fiに接続して社内情報にアクセスしない
- パスワードを他者から見える場所で管理しない
実際にあったサイバー攻撃の事例を共有し、危機意識を持ってもらうことも有効です。セキュリティ研修は定期的に実施し、理解度確認テストを行って知識がしっかり定着するようにしましょう。
サイバーセキュリティを強化して安全性を高めよう
IT化が進み、ネットワークを介して情報を取り扱う機会が増加したことで、サイバー攻撃の被害に遭うリスクも高まっています。企業で起こり得るリスクを回避するには、セキュリティ対策ツールや社員へのセキュリティ教育、セキュリティ関連資格の取得奨励など、サイバーセキュリティを強化するさまざまな対策が考えられます。本記事で紹介した対策で未実施のものがあれば、早急に対応しましょう。
どのように対策を進めたらいいのか分からない場合は、セキュリティの専門家に相談するのがおすすめです。ラックはサイバー攻撃の調査やコンサルティングなど、企業ニーズに合わせてさまざまなサポートを提供しています。自社のサイバーセキュリティを強化したい企業の皆さまは、ぜひご相談ください。
参考情報
※1 サイバーセキュリティって何?|国民のためのサイバーセキュリティサイト
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR