ここから本文
高度情報社会の今、インターネットや電子メール、パソコン、携帯端末などの情報技術(IT)や情報通信機器は、ビジネスに欠かせない"インフラ"のような存在です。
一方で、それらの安全な使用を妨げるサイバー攻撃は高度化が進み、時には事業の継続性を脅かすものとなっています。
日々進化し続ける脅威に対抗するためには、情報セキュリティの基本を押さえ、対策をアップデートし続けることが大切です。
情報セキュリティとは、「情報資産」を脅威から守るための対策のことです。企業や組織が保有する情報資産には、顧客情報や従業員の個人情報、技術情報、会計情報に加え、業務に使用するハードウェアやソフトウェアなども含まれます。
許可された者だけが情報にアクセスできる「機密性」、情報や情報のやり取りに不正がない「完全性」、必要時にその情報にアクセスできる「可用性」の3つが保たれている時、情報セキュリティが機能しているとみなされます。
逆にこれらの1つでも維持できなくする内外の脅威(要因)がある場合、「リスク」があるとみなされ、脅威によって実際に情報資産に損失が生じた時、「インシデント」が発生したと考えます。
情報資産のセキュリティリスクにつながる脅威は、マルウェア、不正アクセスなどの「外的要因」と、組織内部の人による意図的な情報の持ち出し、メールの誤送信、情報システムの脆弱性などの「内的要因」があり、それぞれに適したセキュリティ対策を講じることが重要です。
独立行政法人情報処理推進機構(IPA)は、「10大脅威」と称して情報セキュリティに対する脅威の最新トレンドを毎年公開し、注意喚起を行っています。
2024年1月に公開された「情報セキュリティ10大脅威 2024」にランクインした脅威は、いずれも昨年と同じ内容です。特に1位「ランサムウェアによる被害」、2位「サプライチェーンの弱点を悪用した攻撃」、4位「標的型攻撃による機密情報の窃取」の技術的脅威は、長年にわたり常に上位にランクインしており、脅威の進化に対策が追いついていないことがうかがえます。
3位「内部不正による情報漏えい等の被害」と6位の「不注意による情報漏えい等の被害」は人的脅威と呼ばれるものです。前者を意図的脅威、後者を偶発的脅威と呼ぶこともあります。これらも長くランクインしている脅威で、就業規則や社内運用規則の周知徹底、社員教育などを通じて、組織関係者のモラルや情報リテラシーを向上させる対策が重要であることを示唆しています。
10位の「犯罪のビジネス化(アンダーグラウンドサービス)」は、アカウントのIDやパスワード、クレジットカード情報、あるいはマルウェアなどがアンダーグラウンドで売買される現象を指します。闇サイトなどを通じてこれらの情報やツールが容易に入手可能となり、専門知識を持たない人でもサイバー攻撃に手を染めやすくなっています。企業や組織はより強固な情報セキュリティ対策が不可欠です。
また、10大脅威にはランクインしていませんが、自然災害などの物理的リスクも忘れてはいけません。特に昨今、自然災害が激甚化しており、情報資産を管理する施設への物理的な脅威が高まっています。災害によりデータセンターやITインフラが被害を受け、データの損失・破壊、システム停止などが起こると、業務を中断したり、機密情報の漏えいのリスクが高まったりするおそれがあるからです。
情報資産のインシデントは、企業や組織にとって経済的損失だけでなく、自身の信頼性の低下につながり、最悪の場合、業務の継続が難しくなる可能性もあります。脅威の種類に合わせて対応計画を策定したり、情報セキュリティ体制を強化したりすることは、企業や組織にとって最優先課題となっています。
次に、これからの情報セキュリティを考えるうえで、マルウェアやサイバー攻撃など技術的リスクへの備えのカギとなる7つのワードを紹介します。
「何も信頼しない」を前提にした、内外の境界を超えた安全性
ゼロトラストとは、ネットワーク上に内外の領域を定めず、組織のサーバーや社内ネットワークにアクセスする通信やデバイスをすべて信用できないものとみなし、それらの認証を繰り返すことで安全性を高めるセキュリティの方法です。
これまでの企業や組織の情報セキュリティは、「境界型防御」が主流でした。境界型防御とは、ネットワーク上に「信用できる内部」と「信用できない外部」を定め、外部からの侵入をファイアウォールなどで遮断するというセキュリティの手法です。
しかし近年、リモートワークの普及、クラウド利用の増加、業務でのモバイル端末使用の日常化など、ネットワークの利用環境が急激に変化し、内外の境界が曖昧になっています。さらに電子メールなどを使って特定の企業・個人を狙う「標的型攻撃」の脅威も増し、これまで信用できると考えられていた内部のリスクも高まっています。こうした中、注目されるようになったのが「ゼロトラスト」という考え方です。
次に紹介するSASEのほか、端末(エンドポイント)の挙動を常に監視して不審な動作を検知・報告するEDR(Endpoint Detection and Response)、ネットワークトラフィックを収集・分析し、不審な通信や攻撃を検知・報告するNDR(Network Detection and Response)などは、ゼロトラストの実現には欠かせないソリューションです。
ネットワークとセキュリティを一元管理
SASE(Secure Access service Edge)は、ネットワーク機能とセキュリティ機能をクラウド上に集約して一体的に提供するネットワークセキュリティモデルです。クラウドやモバイル端末の利用拡大と境界型セキュリティの限界を背景に、2019年に米ガートナー社が提唱した新しい概念で、ゼロトラストを実現するソリューションの1つとして、注目を集めています。
SASEを構成する代表的な機能は、ソフトウェアによって仮想的なネットワークを構築し複数のWAN接続を一元的に管理するSD-WAN(Software Defined-Wide Area Network)、組織内外の通信を安全に接続するSWG(Secure Web Gateway)、クラウドサービス利用を管理・制御するCASB(Cloud Access Security Broker)、クラウド型ファイアウォールFWaaS(Firewall as a Service)、ゼロトラストの考え方に基づきアクセスを制御するZTNA(Zero Trust Network Access)などです。
SASEを導入することで、これまで個別に行ってきたネットワーク接続やマルウェアなどへのセキュリティ対策を一元管理できるようになり、ネットワーク構成の簡素化や運用コストの削減につながります。ほかにも、テレワークで課題となっているVPNの帯域不足や、データセンターへのアクセス過多による通信遅延を軽減する効果が期待されます。
インシデント発生に迅速に対応、早期の信頼回復へ
CSIRT(Computer Security Incident Response Team)は、マルウェアへの感染、不正アクセスによるデータ流出、サーバーへの攻撃(DOS攻撃、DDOS攻撃)など、インシデント発生の有無を監視し、発生した際には調査・対応する専門チーム・組織のことです。
インシデント発生の報告を受け、その内容を分析し、速やかに復旧と対策を講じることで、企業や組織のダメージを最小限に抑える役割を担います。IPAの「サイバーセキュリティ経営ガイドライン Ver3.0」にも、サプライチェーン全体のインシデントに対応できるCSIRTを構築することが重要と明記されており、今後CSIRTを設置する企業の増加が予測されます。
企業や組織内部のカスタマイズされたシステム復旧に携わる業務のため、これまでCSIRTはインソースでの運営が主流でした。しかし近年のサイバー攻撃の高度化で、高い専門性を持つ人材が24時間365日体制で脅威に向き合う必要性が高まり、社内だけで人材を確保することが困難になってきました。そのため現在は、CSIRT構築支援を外部に委託するケースが増えています。
インシデント対応の最前線
SOC(Security Operation Center)は、CSIRT同様、企業や組織内の情報セキュリティを維持するために設置される専門チーム・組織のことです。SOCが担う役割はインシデントの検知です。システムやネットワークを常時監視してログを収集し、その分析から早期の脅威の検知と改善案などの提案へつなげることが、SOCの主な業務です。
これまでSOCは、社内に専門チームや担当者を置いて運営することが一般的でしたが、昨今のサイバー攻撃の高度化の流れを受けて、外部の専門企業にSOC運営を依頼するケースが増えています。
企業連携の弱点を突き標的組織に侵入
現代の企業活動は、原材料の調達から製品の製造、配送、販売、消費者へのサポートまで、一連の工程・企業のつながり(サプライチェーン)で成立しています。グループ企業や様々な取引先とのネットワークは複雑で、サプライチェーン全体の情報セキュリティ強度を高いレベルで保つことは容易ではありません。本社に比べてセキュリティが手薄になりがちな関連会社や取引先などが使用するシステムやソフトウェアを足掛かりにネットワークに侵入し、内部から標的企業・組織を狙うのが、サプライチェーン攻撃です。
サプライチェーン攻撃は、一般に侵入されたことに気づきづらいという特徴があります。また、内部からの攻撃を受けて、本来、外部からの脅威に対して高いセキュリティレベルで守られているデータが改ざんされたり、システムが攻撃を受けたり、情報が流出したりすると、最悪の場合、企業活動を停止せざるを得ない事態にも発展します。適切な対策を学び、リスク軽減策を講じることが重要です。
オンライン上での信頼性の構築
オンラインでのやり取りは、いまやビジネスに欠かせない要素です。一方でオンラインでのやり取りには、「やり取りしている相手が本当に本人か」「やり取り内容が通信中に改ざんされていないか」など、信用・信頼に関する課題があり、安心・安全にビジネスを行うためには適切な対策を講じる必要があります。
やり取り相手を本人と証明だとする手段として広く利用されるのが個人認証技術です。認証方法の基本的な種類は、パスワードや秘密の質問などの「知識情報」、ICカードやワンタイムパスワード(OTP)などの「所有情報」、指紋や顔、静脈、虹彩などの「生体情報」の3つです。また最近は、生活習慣(ライフスタイル)も認証方法になると考えられ、研究が進んでいます。
一般的な認証方法は「知識情報」ですが、パスワードが類推しやすかったり使い回されたりすると、セキュリティリスクが高まります。そこで現在は、認証方法を2つ以上組み合わせる「多要素認証」が主流です。また、ID管理やシングルサインオン、多要素認証などの機能で企業が扱う、複数のサービス(Webサービスやアプリケーションなど)に登録されているIDやパスワードを一元的に管理できるクラウドサービスIDaaS(アイダース)の利用も進んでいます。
一方、オンライン上でやり取りされる情報の信頼性やセキュリティを確保する技術が、トラストサービスです。トラストサービスを構成する要素は、デジタル署名、タイムスタンプ、eシール、ウェブサイト認証、モノの正当性の認証、eデリバリーなどです。今後のビジネスのデジタル化が進展する中で、データ送信元のなりすましやデータの改ざんなどを防ぐために、トラストサービスの活用は有効です。
セキュアなWeb体験を保証
Webアプリケーションとは、GmailやYouTubeのように、インターネットなどネットワークを経由してWebサイト上で利用するアプリのことです。携帯電話やタブレット端末にダウンロード・インストールするネイティブアプリケーションと比べ、ストレージの容量を節約できる、アップデートの更新手間がかからない、様々なデバイスからアクセス可能といったメリットがあり、企業のホームページや業務システムなどでのWebアプリの活用が広がっています。
一方で、Webアプリには脆弱性という課題があります。ここでいう脆弱性とは、アプリに存在するセキュリティ上の欠陥や弱点のことです。Webアプリに脆弱性があると、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの攻撃手法で、悪意のある第三者が個人情報などの機密情報を盗み取ったり、システムを破壊したりするリスクが生じます。
こうしたリスクを避けるには、Webアプリの設計時に脆弱性をつくらないことが何より重要です。ただし、人がつくるものである以上、どんなに配慮しても脆弱性をゼロにすることは不可能です。そのため、脆弱性があることを前提に、定期的にアプリの脆弱性を診断し、明らかになった課題を分析・対処することが大切です。
Solutions
