
AWSとは?自社でクラウドを本格導入する時に困らない為の初心者向け早わかりガイド
あらゆる情報がデジタル化されている現代では、情報をどのように守るかという課題を常に意識しておく必要があります。サイバーセキュリティは情報の信頼性維持に対する脅威手段のひとつです。本コラムでは、そもそもサイバーセキュリティとは何なのかについて、情報セキュリティとの違いやサイバー攻撃の具体例を確認しながら、サイバーセキュリティ対策の最新の動向、そして具体的な対策までわかりやすく解説します。
サイバーセキュリティとは、デジタル化された情報の改ざんや漏えいを防ぐ手段のことです。
情報は常に信頼性が保たれていなければなりません。しかし、デジタル化された情報は簡単に持ち運べますし、ICTが普及した現代では遠隔地からの情報へのアクセスが可能です。デジタル情報は利便性が高いものですが、情報の正確性や信頼性が常に脅威にさらされている状態にもあります。サイバーセキュリティは、この脅威となる原因に対処する役割をもっているのです。
セキュリティは大きく2つに分けて考える必要があります。それは「情報セキュリティ」と「サイバーセキュリティ」です。
両者の関係性は、情報セキュリティという大きな括りの中にサイバーセキュリティの概念があるとイメージするとわかりやすいでしょう。
ここでは、情報セキュリティとサイバーセキュリティの違いを見ていきます。
情報は「機密性(confidentiality)」「完全性(integrity)」「可用性(availability)」の3つの要素が保たれることで、正確性や信頼性が向上します。この3つの要素を「CIA」と呼びます。
情報セキュリティでは、この「CIA」の状態を守るために情報をどう扱えばよいかを考えます。
例えば、情報漏えいやデータの破損を防ぐために情報をどのように扱うのか、またいつでも情報が使える状態を保つためにはどうしたらよいのかといった対策が情報セキュリティです。
なお、「CIA」については、「情報セキュリティ3要素と7要素 CIAの定義から4つの新要素まで解説」で詳しく解説していますので、ぜひ参考にしてください。
サイバーセキュリティは、情報セキュリティの3要素である「CIA」の“脅威となる原因”に対処するという考え方です。
これは、外部からネットワークを介して実行される脅威だけではなく、内部から情報が持ち出されるなどのヒューマンエラーを含めたアナログな脅威へのセキュリティも含まれます。情報へのアクセスに関しては、企業内外を区別することなく警戒しなければならないという意識から、近年「ゼロトラストセキュリティ」も注目されています。
ゼロトラストセキュリティについては「ゼロトラストセキュリティとは?その必要性やメリット、境界型セキュリティの違いを解説」で詳しく解説していますので、ぜひ参考にしてください。
では、情報セキュリティの3要素である「CIA」を脅かす原因とは何でしょうか。
身近にある代表的な脅威には、以下のようなものが挙げられます。
これらサイバーセキュリティの脅威それぞれについて、「CIA」の3つの観点で対策を検討する必要があります。
サイバーセキュリティが防ぐべきサイバー攻撃は、日々新たな手法が生み出されています。主にネットワークを介して内部システムを破壊する行為や、データの改ざんなどの行為が、さまざまな手口で行われているのです。
具体的には以下のようなサイバー攻撃があります。
日々新たな脅威が生み出される中、意識しておくべきはサイバーセキュリティに関する最新の動向です。IT関連のニュースなどでサイバー攻撃の被害や手口を確認することができます。特に、経済産業省が管轄するIPA(情報処理推進機構)やNISC(内閣サイバーセキュリティセンター)の情報ならば、信頼性の高い情報を収集できるでしょう。
例えば、NISCのトップページには、2020年11月26日付けの「ランサムウエアによるサイバー攻撃について【注意喚起】」や、2020年6月24日付けでは「多くのデバイスが影響を受ける複数の脆弱性「Ripple20」に関する参考情報」などが掲載されています。その他、セキュリティに関するワーキンググループの報告なども掲載されていますので、サイバーセキュリティの最新の動向チェックに役立ちます。
サイバーセキュリティの具体的な対策には、ソフトウェアで対応する技術的な対策や、従業員に対してデータの取り扱いなどのルールを徹底する人的な対策、情報保管場所へのアクセスを記録する物理的な対策などがあります。
つまり、サイバーセキュリティは「技術的」「人的」「物理的」の3つに分けて対策をする必要があるということです。
技術的な対策では、利用しているデバイスやアプリケーションをIT技術によって脅威から守ります。
具体的には次のような対策が考えられます。
人的な対策とは、IT・ICTを利用または作成するすべての人が、サイバーセキュリティを意識することです。
具体的には次のような対策が考えられます。
物理的な対策では、デバイスの盗難や破壊行為、情報を保管している場所への物理的アクセスを徹底管理します。
具体的には次のような対策が考えられます。
サイバーセキュリティとは、情報セキュリティの3要素「CIA」を脅かす原因に対処することです。脅威となるサイバー攻撃の手法はさまざまですし、最新の動向を意識した対策を施さなければなりません。なお、サイバー攻撃の方法は日々進化していますので、常に網羅的な対応をすることは困難です。しかし、基本的なサイバーセキュリティをチェックしておくだけでもセキュリティの効果はあります。自社だけでサイバーセキュリティへ対応することが難しい場合や不安が残る場合には、ICT事業者が提供するセキュリティチェックサービスを利用したり、知見を持つシステム構築支援事業者に一般的に必要な情報セキュリティ対策を含めた設定を依頼するなど、第三者の視点を取り入れることも1つの選択肢です。
AWS CIS Benchmarkに沿って、運用中のクラウドセキュリティ設定を第三者視点でチェック!
アップデートが頻繁なクラウドサービス。
設定の定期的なセキュリティチェックをしていますか?
自社のクラウド導入に必要な知識、ポイントを
この1冊に総まとめ!
初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。
クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・
など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。
NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!
特に以下に当てはまる方はお気軽に
ご相談ください。
クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。