1. 法人のお客さまトップ
  2. サービス
  3. ネットワーク回線/Wi-Fi
  4. おまかせ監視サポート(おまかせITマネージャー)
  5. コラム
  6. 【徹底解説】ネットワークセキュリティの7要素と10大脅威!企業がすべき4つの対策を紹介

【徹底解説】ネットワークセキュリティの7要素と10大脅威!企業がすべき4つの対策を紹介

  • 2024.6.28 (金)
    Posted by NTT東日本

【徹底解説】ネットワークセキュリティの7要素と10大脅威!企業がすべき4つの対策を紹介

情報セキュリティに対する脅威は年々巧妙化しており、企業は厳重な対策が求められています。しかしネットワーク管理やウイルス感染後の対応など、情報セキュリティ対策に不安を持つ方は多いのではないでしょうか。
そこで今回の記事では、ネットワークセキュリティの7要素と安全性を高めるための対策について解説します。近年猛威を振るっている10大脅威も紹介しますので、情報セキュリティ対策を強化したい企業の方はぜひ参考にしてください。

  • 社内ネットワークの導入・見直しをご検討のみなさま
    通信速度が遅い、機器が古くなっていつ壊れるかわからないなど不満や不安はありませんか?
    NTT東日本グループがお客さまにあわせたネットワークをまとめてご提案します!
    ※(株)NTT東日本サービスのページに遷移します。
    詳細はこちら別ウィンドウで開きます

よくある通信トラブルの解決策をご紹介!

「通信のトラブル解決ガイドブック」をこちらからダウンロードできます

資料をダウンロードする(無料)別ウィンドウで開きます

通信のトラブル解決ガイドブック

目次

  1. 1.ネットワークセキュリティとは?概要を解説
  2. 2.ネットワークセキュリティの7要素とは
  3. 3.ネットワークセキュリティの10大脅威
  4. 4.ネットワークセキュリティを高める4つの対策
  5. 5.ネットワークセキュリティを強化し幅広い脅威へ備えましょう

1.ネットワークセキュリティとは?概要を解説

ネットワークセキュリティは、デジタルの「情報資産」を保護し安全に運用するための防衛策です。「情報資産」とは、顧客の個人情報や技術情報など資産価値を生む可能性を持ったデータです。
セキュリティの観点から、ネットワーク形態は大きく2つに分類できます。直接または間接的に、外部のネットワークやインターネットとつながっている状態が「オープンネットワーク」です。一方で外部との接続が一切遮断されている状態を「クローズネットワーク」と呼びます。形態によって最適な情報セキュリティ対策は異なるため、自社のネットワークに合わせた防衛策を取ることが重要です。

2.ネットワークセキュリティの7要素とは

ネットワークセキュリティを構築するうえで、欠かせない要素が7つあります。もともとはCIAと呼ばれる「情報セキュリティ3大要素」でしたが、近年4つの要素が新たに追加され7つになりました。追加された4つの要素により、より安全なネットワーク運用が可能です。

機密性(confidentiality)

機密性とは、権限を持つ担当者のみが必要な情報にアクセスできる状態を作ることです。機密性が確保されていないネットワークでは、不正アクセスや通信の盗聴など情報漏えいの危険性が高まります。具体的な対策として、以下のようなものがあります。

  • 解読されにくいパスワード設定
  • 一定期間ごとにID・パスワードの変更を要求
  • 重要データへはアクセス権限を設ける
  • データ保管エリアへの立ち入り制限
  • データやID・パスワード情報を外部に持ち出さない

機密性を確保するための対策は必要ですが、厳重にしすぎるとシステムが使いにくくなることに加えルールの徹底が難しくなります。機密性と利便性のバランスを保ち、適切な手段で情報セキュリティ対策を行うことが大切です。

完全性(integrity)

完全性とは第三者による情報改ざんなどがなく、常に正確かつ最新の状態で保たれている状態を指します。また、情報が正確であっても一部が欠けている状態は完全性が保たれているとは言えません。破壊や紛失がなく、正常な処理がなされる状態を維持する必要があります。完全性を維持する具体的な対策には、以下のようなものがあります。

  • 情報へのアクセスログを管理する
  • ファイアウォールやウイルス対策ソフトを導入する
  • 定期的にバックアップを行う

IoTが普及する現代では、自動車や医療機器がインターネットに接続されています。そのため完全性への侵害は、人命に関わる重大事故につながる可能性が危惧されています。また、完全性に対する脅威には、悪意ある攻撃だけでなく自然災害による被害も想定しておきましょう。

可用性(availability)

可用性とは、アクセス権限を持つ人が必要な情報をいつでも利用できることを指します。サーバーの不具合や停電などによるサービス停止は、可用性が損なわれている状態です。可用性を維持する具体的な対策には、以下のようなものがあります。

  • システムのクラウド化
  • システムの冗長化
  • 自家発電システムを設置する
  • BCP(事業継続計画)策定を行う

可用性が高いシステムは、機密性と完全性が常に維持されていることが前提です。可用性の高いシステムを構築すれば、テレワークへの移行や災害時の復旧対策にも貢献します。

真正性(Authenticity)

真正性とは、情報が正しいものであることを証明することです。近年、改ざんデータの悪用やフェイクニュースによる被害が問題となっています。これらの被害は、真正性が損なわれている状態です。具体的な対策として、以下のようなものがあります。

  • アクセス制限を行う
  • 二段階認証
  • 生体認証を実施
  • デジタル署名の設定

IDやパスワードを設定していても、予想されるようなものや盗難により外部に渡ってしまえば真正性を担保できません。そこで、二段階認証や生体認証などを用いて「許可された人物である」ことを証明する必要があります。また、データを作成した人物や正しい情報であることを証明するために、デジタル署名が活用されています。

信頼性(Reliability)

信頼性とは、利用したデータやシステムが意図したとおりの結果を出せることです。データやシステムは人的ミスやプログラムの不具合によって、期待する結果が得られないケースがあります。具体的な対策には、以下のようなものがあります。

  • 不具合やエラーの徹底的なチェック
  • トラブルをリカバリーする仕組みを作る
  • マニュアルやルールの徹底周知

セキュリティ3大要素を担保するためにも、信頼性の確保は欠かせません。システム構築の段階で、不具合を発生させない設計・対策を行うことが重要です。

責任追跡性(Accountability)

責任追跡性とは、企業や個人などの動きを追跡し責任の所在を明確にすることです。内部不正や外部からの攻撃があった場合、データ変更またはシステムにアクセスした人物が分からなければ問題の原因を特定できません。具体的な対策は、以下のようなものがあります。

  • アクセスログ・システムログの保存
  • ログイン・操作履歴の保存
  • デジタル署名の設定

仮にトラブルが発生した場合でも、追跡記録が残っているため原因や犯人特定が容易になります。

否認防止(non-repudiation)

否認防止は、後で否定されないよう証拠を残すことです。組織や個人が情報を変更した際に、本人が後から否認できないようにログを取るなどの措置を指します。具体的な対策には、以下のようなものがあります。

  • アクセスログや通信履歴の保存
  • ログイン履歴・操作ログの保存
  • タイムスタンプの付与
  • デジタル署名の設定

情報セキュリティのインシデントの多くは、後から発見されることが多いのが特徴です。そのため、否認防止を維持し原因の究明や犯人を特定できる仕組みを作る必要があります。

よくある通信トラブルの解決策をご紹介!

「通信のトラブル解決ガイドブック」をこちらからダウンロードできます

資料をダウンロードする(無料)別ウィンドウで開きます

通信のトラブル解決ガイドブック

3.企業を襲うネットワークセキュリティの10大脅威

年々、ネットワークセキュリティに対する脅威は多様化・拡大しています。ここでは2022年に発生した中の10大脅威について、攻撃内容やもたらされる被害について詳しく見ていきましょう。

ランサムウェア攻撃

ランサムウェア攻撃は、コンピュータのウイルス感染による脅威です。ウイルス感染により内部データを暗号化し、システムから一切参照できなくします。暗号化したデータの「身代金」を支払わない限り、データを復元することはできないと脅してくるのが特徴です。

被害対象が広範囲に至るケースも多く、正常な事業運営ができなくなります。一時的な閉鎖による損失や復旧のための費用投資など、金銭的なダメージが大きいです。

サプライチェーン攻撃

サプライチェーン攻撃は、情報セキュリティ対策の弱い企業が最初に狙われます。情報セキュリティ対策の弱い企業を経由して、本来のターゲットに攻撃をしかける手法です。近年、他社と協業してビジネスを行う企業も多いことから急激に増えています。企業の収益やブランドイメージの低下に加え、取引先との信頼関係に壊滅的な打撃を与える攻撃です。

標的型攻撃

標的型攻撃は、官公庁や企業など特定の組織をターゲットとしているのが特徴です。メールの添付ファイルを開かせたり、リンクをクリックさせたりすることでウイルスを仕込みます。政府機関の機密情報や企業の知的財産を狙っており、情報漏えいや詐欺被害などによる影響は深刻です。

内部不正による情報漏えい

内部不正とは、社外への持ち出しが禁止されている機密情報が企業の社員や元社員により持ち出されるなどの行為を指します。主な原因には、以下のようなものがあります。

  • 必要以上に広範囲なアクセス権限の付与
  • 退職者のアカウントが消去されていない
  • USBメモリーなどの外部記憶装置の利用

故意による内部不正だけでなく、誤操作など意図せず引き起こされるケースもあります。内部不正により情報漏えいが起こると、企業の社会的信用は失墜するでしょう。また、取引先や顧客に対する損害賠償を求められることもあるため、経済的損失も考えられます。

ニューノーマルな働き方を狙う攻撃

新型コロナウイルス感染症拡大の対策として、テレワークが急速に進められました。しかし情報セキュリティ対策が不十分な状態でスタートした企業も多く、体制の不備を狙った攻撃が増えています。テレワークにおけるセキュリティリスクの主な原因は、以下のようなものがあります。

  • 社員の不注意
  • OSやソフトウェア更新の怠り
  • VPNの脆弱性
  • セキュリティ設定のミス

テレワークを推進するうえで、クラウドやアプリケーションの活用は欠かせない存在です。一方で、利用方法やルールの徹底が不十分であれば情報漏えいなどリスクが高まります。なりすましメールやデータ暗号化による、金銭要求の被害が報告されています。

修正プログラムの公開前を狙った攻撃

修正プログラム(パッチ)が提供される前に、公開された脆弱性を悪用する攻撃を指します。ゼロデイ攻撃と呼ばれており、OSやソフトウェアなどの脆弱性を狙った攻撃です。脆弱性を補強するためには、パッチの適用が必要です。

しかし、パッチを取得するまでにはタイムラグが生じるため攻撃を完全に防げない場合があります。また、攻撃自体に気づけない可能性もあります。根本的な解決策がないため、確実に防ぐことは難しいです。

ビジネスメール詐欺

ビジネスメール詐欺とは、自社または関連会社の経営層や取引先になりすまして攻撃する手法です。
正規メールのやり取りに割り込み、取引先などの関係者からの自然な返信を装うのが特徴です。そのため、騙されるリスクが高い攻撃手法として知られています。

ビジネスメール詐欺の目的は、金銭をだまし取ることです。日本国内でも金銭的被害を受けた企業が確認されており、社員への注意喚起や自動で怪しいメールを検知する仕組みを作るなど十分な対策が必要です。

脆弱性対策など情報の公開に伴う悪用

業界団体やベンダーなどにより機器・ソフトウェアの脆弱性が公表されたあと、アップデートなどの対応がされていないシステムを狙ってサイバー攻撃を行うことがあります。近年は攻撃が本格化するまでの時間が短縮しており、事前の対策が必要です。システムダウンや情報漏えいなどにより、業務停止・社会的信用の失墜など企業に甚大なダメージを与えます。

不注意による情報漏えい

厳重な情報セキュリティ対策をしても、ユーザーの不注意による情報漏えいを防ぐことは難しいです。よくある事例には、以下のようなものがあります。

  • メールの誤送信
  • 外部記憶媒体の紛失
  • システムの設定ミス

社員の意識が大きく影響しているため、社内ルールの周知やセキュリティに関する教育を徹底することが重要です。

犯罪のビジネス化

以前は愉快犯や政治的信条の主張など、個人的な目的達成のために攻撃を行うケースが主流でした。
しかし近年では金銭要求を行いビジネスとしているケースが多く、アンダーグラウンドサービスとも呼ばれています。

不正プログラムの販売や攻撃を支援するためのコミュニティも登場しており、経済圏が成立していることから今後さらなる被害が予想されている脅威です。儲かるビジネスモデルとして急成長しているため、サイバー攻撃の手法が高度化する一因となっています。

4.ネットワークセキュリティを高める4つの対策

ネットワークセキュリティは、脅威に対して適切な対策をすることが重要です。情報セキュリティ対策の種類は大きく分けて、以下の4つがあります。

  • 技術的対策
  • 人的対策
  • 物理的対策
  • 組織的対策

自社のセキュリティリスクを正しく把握し、適切な対策を行う参考にしてください。

技術的対策

技術的対策とは、各種ネットワーク機器の設定などによりセキュリティリスクを防止することです。主な対策には、以下のようなものがあります。

  • ウイルスやマルウェアなど不正プログラム対策
  • 不正アクセス対策
  • データの暗号化
  • アクセス制御、権限管理
  • 目的や種類の異なるセキュリティソフトの導入

さまざまな要素を対象としているため、情報セキュリティ対策は多岐にわたります。NTT東日本では、セキュリティ監視と設定代行をサポートする「おまかせアンチウイルス」を提供しています。情報セキュリティ対策を行う管理者が不在でも、すべての端末において最新のウイルス対策が可能です。情報セキュリティにおいて不安をお持ちの企業さまは、ウイルス対策管理や検知状況を一括で任せられる「NTT東日本」へぜひご相談ください。

「おまかせアンチウイルス」の詳細はこちら

人的対策

人的対策とは、人間が原因で発生する事故やトラブルを防ぐための情報セキュリティ対策です。人的脅威の主な原因には、以下のようなものがあります。

  • 誤操作
  • セキュリティリテラシーの欠如
  • 知識不足
  • 不正行為

情報セキュリティ対策に関する社員教育を徹底し、知識やモラルを身に付ける必要があります。また、誤操作を防ぐためにマニュアルやルールを明確化することも大切です。

物理的対策

物理的対策とは、施設や機材など物理的な干渉に備える対策です。物理的対策には、以下のようなものがあります。

  • 入退室管理
  • 二重鍵やオートロックの設置
  • 防犯カメラの設置
  • 警備員の配置

物理的な対策の主流は、オフィスのセキュリティを強化することです。セキュリティレベルに合わせてフロア分けを行うなど、誰でも容易に機器・設備に触れられない仕組み作りが必要です。清掃員や配達員を装った侵入も考えられるため、外部の人が自由に出入りできる状況をなくすようにしましょう。

組織的対策

組織的対策とは、マニュアルや罰則規定などの組織内のルールを整備することです。事故やトラブルがあった際の対応フローを決めておけば、損害を最小限に抑えられます。また組織的対策を行うことで、長期的な情報セキュリティ対策や継続的改善につながるでしょう。

5.ネットワークセキュリティを強化し幅広い脅威へ備えましょう

ネットワークセキュリティは、企業の情報資産を守るための重要な対策です。ネットワークにおけるセキュリティ被害はさまざまな業種で報告されており、事業規模に関わらず適切な情報セキュリティ対策が求められます。
NTT東日本では、業種・規模にとらわれず安全性の高い情報セキュリティ対策をサポートします。オフィス内だけでなく離れた拠点の端末の一元管理もできるので、テレワークなど多様な働き方にも対応可能です。情報セキュリティに対する不安をお持ちの企業さまは、設定から運用まで一括で任せられる「NTT東日本」にお気軽にご相談ください。

  • 社内ネットワークの導入・見直しをご検討のみなさま
    通信速度が遅い、機器が古くなっていつ壊れるかわからないなど不満や不安はありませんか?
    NTT東日本グループがお客さまにあわせたネットワークをまとめてご提案します!
    ※(株)NTT東日本サービスのページに遷移します。
    詳細はこちら別ウィンドウで開きます
  • おまかせアンチウイルス

    詳しく見る
  • おまかせ監視サポート

    オフィスのネットワーク機器の利用データを監視・分析して、通信トラブルを未然に防止

    詳しく見る
  • おまかせLAN構築

    あなたの業務にあわせた最適なオフィスLAN環境を実現するLAN配線・機器配置サービス

    詳しく見る

ページの先頭へ

おまかせ監視サポート(おまかせITマネージャー)のトップに戻る

お役立ち資料



    • おまかせITマネージャー総合パンフレット

    具体的なサポート内容や料金についてわかりやすく紹介しています。

    資料をダウンロード別ウィンドウで開きます

あわせてのご利用がおすすめのサービス

  • ギガらくWi-Fi

    オフィスや店舗で役立つ機能に加え、プロによる導入から運用までのサポートが付いた、安心・カンタン・すぐに使えるWi-Fiサービスです。

    詳しく見る
    ギガらくWi-Fi
  • ギガらくVPN

    ネットワークの一元管理やインターネットVPNの構築がかんたんに行えるマネージドルータサービスです。

    詳しく見る

ページ上部へ戻る