規模の大小にかかわらず、あらゆる企業がサイバー攻撃の被害に遭う可能性があります。被害を回避し組織を守るには、適切なサイバーセキュリティが求められます。本記事では、サイバーセキュリティの概要やよくあるサイバー攻撃の事例、具体的な対策方法などについて解説します。
サイバーセキュリティとは
サイバーセキュリティとは、サイバー攻撃や内部不正などでもたらされるリスクを回避する手段です。具体的には、デジタル情報の改ざんや漏えい、身代金の要求、データの破損などを防ぐための施策です。
情報セキュリティには「CIA」の考え方があります。機密性を意味するConfidentiality、完全性のIntegrity、可用性のAvailabilityです。つまり、サイバーセキュリティは、情報のCIAを脅かす存在に対し、適切な対処を行うことを指します。
サイバー攻撃の例
近年は、クラウドサービスの利用拡大に伴い、サイバー攻撃の被害に遭うケースも増えてきました。サイバーセキュリティの施策を戦略的に進めていくには、まずどのような攻撃の種類があるのかを把握しておきましょう。
フィッシング
狙いを定めたターゲットを釣りあげて、金品を盗みとる手口です。たとえば、リンクを添付したメールを送信し、ユーザーが開くと偽のサイトに誘導されます。そこでクレジットカード番号や口座番号などを入力してしまうと、お金を奪われてしまいます。
フィッシング詐欺の厄介なところは、ユーザーを騙すため巧みなテクニックを駆使していることです。実際にある大手金融機関や企業の名前を用いて、信頼を得たうえでメールを開封させようとするケースが少なくありません。本物と似たようなURLを使用しているケースもあるため、ひと目で見分けがつかないのも厄介です。
総当たり攻撃、および逆総当たり攻撃
総当たり攻撃は、古くからあるサイバー攻撃の一種です。アカウントを盗むための手法であり、パスワードを片っ端から試してログインを試みます。
また、パスワードではなくIDをターゲットとした、逆総当たり攻撃なるものもあります。いずれにしても、パスワードやIDを不正に取得されてしまうと、情報の漏えいや内容の改ざん、クレジットカードの不正利用といったリスクが生じます。企業としての信頼も失うおそれがあるため、適切な対処が必要です。
脆弱性を狙った攻撃
アプリケーションの脆弱性を狙った、SQLインジェクション攻撃はよく知られています。SQLはデータベースを扱える言語であり、それをアプリケーションの脆弱性に注入することで、データの改ざんや情報の盗難を行います。
また、コンピューターの処理能力にバグを生じさせ、システムののっとりや改ざん、攻撃への踏み台にするといったバッファーオーバーフロー攻撃も有名です。大量のデータを送りつけ、処理能力にバグを生じさせ、その隙に侵入する手法です。
身代金要求型
ランサムウェアを用いた手口がもっとも有名です。ランサムウェアはマルウェアの一種であり、侵入したシステム内のデータを使えない状態にし、改善する代わりに身代金をわたせ、と要求する手口です。
ランサムウェアに感染すると、データが使えなくなるため業務に支障をきたすおそれがあります。身代金を支払っても解決できないケースが多いのも、ランサムウェアの厄介な点といえるでしょう。なお、ランサムウェアの感染経路は多岐にわたり、メールやアプリなどのほか、Webサイト、USBメモリなどからも感染するおそれがあります。
盗聴
ツールやアプリを用いた2者間でのやり取りに目をつけ、情報の詐取を行う手口です。中間者攻撃とも呼ばれており、特殊なソフトウェアをアプリ、Webサイト間に介在させて実行します。
セキュリティ対策が不十分なデバイスの使用や、暗号化していない通信を行っているときなどに発生しやすい被害です。重要な情報を詐取される、不正送金に使用される被害が考えられるため、適切な対処が求められます。
サイバーセキュリティの具体的な対策
サイバーセキュリティに関するリスクはどのような企業にもあるため、しっかりとした対策をしなくてはなりません。適切な対策により、組織の資産や従業員を守ることにつながります。以下、具体的な対策をピックアップしました。
IT技術を用いたデバイスやアプリケーションの対策
もっとも基本的な対策として、使用しているデバイスへセキュリティ対策ソフトをインストールすることが挙げられます。セキュリティ対策ソフトを導入すれば、不正なプログラムの検知や排除を実施でき、安全な環境でシステムを運用できます。
導入したセキュリティ対策ソフトは、定期的にアップデートを行いましょう。バージョンが古いままでは、小さな穴をついてサイバー攻撃を仕掛けられるおそれがあります。
また、システムへのアクセスログをきちんと管理するのも大切です。不審なログはないか、どこからアクセスされているのかなどをチェックしましょう。
ITを利用する人のサイバーセキュリティの意識向上
堅牢なセキュリティ環境を構築しても、システムを使用するのは人です。従業員に、サイバー攻撃の知識や危機意識が足りないと、情報漏えいをはじめとしたリスクが発生します。
サイバーセキュリティ意識向上のため、しっかりと教育を行いましょう。定期的に研修を実施するのもひとつの手です。過去に起きた被害の事例も活用しつつ、セキュリティ対策がなぜ必要なのか、どのようなメリットがあるのかを理解してもらいましょう。
また、実際にサイバー攻撃を受けた際の対処についてもルールを定め、従業員間で共有することが大切です。
デバイスへの物理的なアクセスの制限
オンラインを介した脅威の対策だけでは不十分です。たとえば、オフィスに不法侵入され、端末からデータを盗まれることは十分考えられます。
このようなリスクを排除するには、監視体制の強化が有効です。監視カメラや防犯カメラなどを設置し、不法侵入を許さない環境を構築しましょう。また、オフィスの入退室管理を徹底するのもおすすめです。権限をもたない者は入室できないように設定し、デバイスへの物理的アクセスがあったときも、入退室時間から社内の誰なのかを把握できます。
企業が行うサイバーセキュリティ経営ガイドラインの概要
サイバーセキュリティ経営ガイドラインを用いれば、企業自らが適切なサイバーセキュリティ環境の構築を進められます。以下、ガイドラインの概要や活用におけるポイントを解説します。
サイバーセキュリティ経営ガイドラインとは
サイバーセキュリティ経営ガイドラインとは、サイバーセキュリティ基本法とも関連がある施策で、経済産業省の主導で発行されたガイドラインです。巧妙化するサイバー攻撃から企業の資産を守るには、経営者がリーダーシップを発揮しなくてはなりません。
ガイドラインには、経営者が巧妙化するサイバー攻撃から組織を守るための3原則が定められています。また、セキュリティ対策の責任者に指示すべき10の項目を定めているので、活用すれば企業経営者自らセキュリティ対策のためにやるべきことを認識できるのです。
サイバーセキュリティ経営ガイドラインのポイント
強固なセキュリティ体制を整えるには、取引先や系列企業が、どのようなセキュリティ対策を行っているのか把握しなくてはなりません。自社は適切に対策を行っていても、取引先や系列企業の対策が不十分であれば、そこから情報漏えいや改ざんなどが発生する可能性があります。
また、セキュリティ対策のためにある程度のリソースを確保しておくことも大切です。深刻な事態が発生したとき、対応できる人材や必要な資金がないと対応が遅れてしまいます。これも、ガイドラインに明記されていることのひとつです。
企業経営者自らガイドラインを遵守すれば、全従業員のセキュリティ意識向上につながります。また、戦略的なリスクマネジメントを実施でき、インシデント発生時においても適切かつ速やかな対応を行えます。
まとめ
適切なサイバーセキュリティ対策を行わないと、サイバー攻撃に遭うリスクを高め、情報漏えいや改ざんなどの実害も発生しかねません。対策ソフトの導入や従業員の意識改革など、しっかりと対策を進めましょう。新規事業へ取り組む場合でも、適切なセキュリティ対策を行っていれば、安心して事業を進められます。