COLUMN

サイバーセキュリティとは？情報セキュリティとの違いを含めセキュリティの考え方や具体例・最新動向を解説

あらゆる情報がデジタル化されている現代では、情報をどのように守るかという課題を常に意識しておく必要があります。サイバーセキュリティは情報の信頼性維持に対する脅威手段のひとつです。本コラムでは、そもそもサイバーセキュリティとは何なのかについて、情報セキュリティとの違いやサイバー攻撃の具体例を確認しながら、サイバーセキュリティ対策の最新の動向、そして具体的な対策までわかりやすく解説します。

サイバーセキュリティとは

サイバーセキュリティとは、デジタル化された情報の改ざんや漏えいを防ぐ手段のことです。

情報は常に信頼性が保たれていなければなりません。しかし、デジタル化された情報は簡単に持ち運べますし、ICTが普及した現代では遠隔地からの情報へのアクセスが可能です。デジタル情報は利便性が高いものですが、情報の正確性や信頼性が常に脅威にさらされている状態にもあります。サイバーセキュリティは、この脅威となる原因に対処する役割をもっているのです。

情報セキュリティとサイバーセキュリティの違い

セキュリティは大きく2つに分けて考える必要があります。それは「情報セキュリティ」と「サイバーセキュリティ」です。

両者の関係性は、情報セキュリティという大きな括りの中にサイバーセキュリティの概念があるとイメージするとわかりやすいでしょう。

ここでは、情報セキュリティとサイバーセキュリティの違いを見ていきます。

情報セキュリティの考え方

情報は「機密性（confidentiality）」「完全性（integrity）」「可用性（availability）」の3つの要素が保たれることで、正確性や信頼性が向上します。この3つの要素を「CIA」と呼びます。

情報セキュリティでは、この「CIA」の状態を守るために情報をどう扱えばよいかを考えます。

例えば、情報漏えいやデータの破損を防ぐために情報をどのように扱うのか、またいつでも情報が使える状態を保つためにはどうしたらよいのかといった対策が情報セキュリティです。

なお、「CIA」については、「情報セキュリティ3要素と7要素　CIAの定義から4つの新要素まで解説」で詳しく解説していますので、ぜひ参考にしてください。

サイバーセキュリティの考え方

サイバーセキュリティは、情報セキュリティの3要素である「CIA」の“脅威となる原因”に対処するという考え方です。

これは、外部からネットワークを介して実行される脅威だけではなく、内部から情報が持ち出されるなどのヒューマンエラーを含めたアナログな脅威へのセキュリティも含まれます。情報へのアクセスに関しては、企業内外を区別することなく警戒しなければならないという意識から、近年「ゼロトラストセキュリティ」も注目されています。

ゼロトラストセキュリティについては「ゼロトラストセキュリティとは？その必要性やメリット、境界型セキュリティの違いを解説」で詳しく解説していますので、ぜひ参考にしてください。

では、情報セキュリティの3要素である「CIA」を脅かす原因とは何でしょうか。

身近にある代表的な脅威には、以下のようなものが挙げられます。

• コンピューターウィルス
• 外部からの不正アクセス
• 内部からの不正アクセス
• ソフトウェアの脆弱性
• ネットワークセキュリティの脆弱性
• ID/パスワードの漏えい
• 従業員などによる情報の持ち出し

これらサイバーセキュリティの脅威それぞれについて、「CIA」の3つの観点で対策を検討する必要があります。

サイバー攻撃の具体例

サイバーセキュリティが防ぐべきサイバー攻撃は、日々新たな手法が生み出されています。主にネットワークを介して内部システムを破壊する行為や、データの改ざんなどの行為が、さまざまな手口で行われているのです。

具体的には以下のようなサイバー攻撃があります。

偽サイトへの誘導

• フィッシング詐欺：偽のサイトへ誘導し、クレジットカードやアカウント情報を入力させることで情報を盗む手口。
• ビジネスメール詐欺：取引先の顧客や自社の経営者などからの業務メールを装い、機密情報や金銭を盗む手口。

不正アクセス

• ブルートフォースアタック（総当たり攻撃）：ID/パスワードのすべての組み合わせを試す手口。
• パスワードスプレー攻撃：複数のアカウントに対して同時に同じパスワードでログインを試みる手口。（ブルートフォース攻撃の一種ですが、より検知されにくい攻撃方法です。）

脆弱性への攻撃

• SQLインジェクション攻撃：不正なSQLを実行することで、データの改ざんや情報の盗難を行う手口。
• バッファーオーバーフロー攻撃：対象のコンピューターの処理能力を超えた不正データを送信して、コンピューターに誤作動を起こさせる手口。

身代金要求型

• ランサムウエア：コンピューター内のデータを勝手に暗号化して制限することで操作不能にし、制限解除のための身代金を要求する手口。マルウェアの一種。

盗聴

• 中間者攻撃：無線LANや脆弱性のあるアプリなどを介して、二者間通信を不正に傍受する手口。

サイバーセキュリティに関する最新の動向

日々新たな脅威が生み出される中、意識しておくべきはサイバーセキュリティに関する最新の動向です。IT関連のニュースなどでサイバー攻撃の被害や手口を確認することができます。特に、経済産業省が管轄するIPA（情報処理推進機構）やNISC（内閣サイバーセキュリティセンター）の情報ならば、信頼性の高い情報を収集できるでしょう。

例えば、NISCのトップページには、2020年11月26日付けの「ランサムウエアによるサイバー攻撃について【注意喚起】」や、2020年6月24日付けでは「多くのデバイスが影響を受ける複数の脆弱性「Ripple20」に関する参考情報」などが掲載されています。その他、セキュリティに関するワーキンググループの報告なども掲載されていますので、サイバーセキュリティの最新の動向チェックに役立ちます。

サイバーセキュリティの具体的な対策

サイバーセキュリティの具体的な対策には、ソフトウェアで対応する技術的な対策や、従業員に対してデータの取り扱いなどのルールを徹底する人的な対策、情報保管場所へのアクセスを記録する物理的な対策などがあります。

つまり、サイバーセキュリティは「技術的」「人的」「物理的」の3つに分けて対策をする必要があるということです。

技術的な対策

技術的な対策では、利用しているデバイスやアプリケーションをIT技術によって脅威から守ります。

具体的には次のような対策が考えられます。

• 業務に利用するハードウェアやソフトウェアを統一して煩雑な管理を避ける
• すべてのデバイス（PCやスマートフォンなど）にセキュリティ対策ソフトをインストールする
• 利用するソフトウェアを常にアップデートして最新バージョンにしておく
• システムやデータへのアクセス権限を徹底管理する
• システムへのアクセスログを管理する
• IDS（不正侵入検知システム）を導入する
• IPS（不正侵入防止システム）を導入する

人的な対策

人的な対策とは、IT・ICTを利用または作成するすべての人が、サイバーセキュリティを意識することです。

具体的には次のような対策が考えられます。

• 情報の持ち込みおよび持ち出しを制限する
• 私物のデバイスを持ち込まない
• 従業員に対してサイバー攻撃に関する知識を教育する
• 重要なデータやシステムなどの変更オペレーションをルール化する
• サイバー攻撃を受けた場合の対処ルールを共有する

物理的な対策

物理的な対策では、デバイスの盗難や破壊行為、情報を保管している場所への物理的アクセスを徹底管理します。

具体的には次のような対策が考えられます。

• オフィスの入退室管理を徹底する
• オフィスの施錠管理を徹底する
• 監視カメラ・防犯カメラを設置する
• 落下防止や耐震強化を徹底する

まとめ

サイバーセキュリティとは、情報セキュリティの3要素「CIA」を脅かす原因に対処することです。脅威となるサイバー攻撃の手法はさまざまですし、最新の動向を意識した対策を施さなければなりません。なお、サイバー攻撃の方法は日々進化していますので、常に網羅的な対応をすることは困難です。しかし、基本的なサイバーセキュリティをチェックしておくだけでもセキュリティの効果はあります。自社だけでサイバーセキュリティへ対応することが難しい場合や不安が残る場合には、ICT事業者が提供するセキュリティチェックサービスを利用したり、知見を持つシステム構築支援事業者に一般的に必要な情報セキュリティ対策を含めた設定を依頼するなど、第三者の視点を取り入れることも1つの選択肢です。