サイバーセキュリティの
基礎基本と3つの対策

1940年代にコンピュータが登場し、1950年代にインターネットの基本技術が確立されてからすでに半世紀以上が経ちました。当時、一部の政府または技術者のみが使用できるインターネットも、今では誰でも利用できる開かれたものに。

しかし、誰でも利用できるからこそ、私たちはつねに「サイバー攻撃」の標的にされるリスクがあると。コンピュータを、インターネットを利用する以上は「サイバーセキュリティ」について正しい知識を持ち、その都度対策を講じることが欠かせません。

そこで、今回はサイバーセキュリティとはどのようなものか?大切な情報を守るための基礎基本についてご説明します。

1.サイバーセキュリティとは

「サイバーセキュリティ」という言葉自体は耳にしたことがあると思います。しかし、「では、サイバーセキュリティとは何ですか?」と聞かれると、正確に答えられる方は少ないのでは?では、サイバーセキュリティとは何かから見ていきましょう。

サイバーセキュリティの基礎基本と3つの対策

サイバーセキュリティとはコンピュータの安全を守ること

サイバーセキュリティとは、簡単に説明すると「コンピュータを第三者からの不正な攻撃(サイバー攻撃)から守るため」の対策のことです。コンピュータに対する不正アクセス、データの破壊や改ざん、漏洩などから守ることを指しています。

単純に、サイバー攻撃の正しい知識を持っていますか?サイバー攻撃に対して普段からどのような対策を講じていますか?もしサイバー攻撃に遭ったとして、どのような初動対応を検討していますか?などを意識して行動すること言えます。

コンピュータはつねに第三者から狙われている

「私の会社は大丈夫」と思っている方は要注意!サイバー攻撃の実態を視覚化している「NICTER WEB弐」と呼ばれるサイトがあります。実際に確認してみると分かりますが、日本は世界各国から膨大な数の攻撃を受けているのです。

また、同様に「NICTER観測レポート 2017の公開」によると、2017年時点での1IPアドレス(コンピュータ)あたりの1年間の総攻撃回数は559,125回とも。2013年時点では63,655回だったことからも増加していることが分かります。

NICTER WEB弐

NICTER観測レポート 2017の公開

世界全体での投資額は年々増加傾向にある

「NICTER観測レポート 2017の公開」などから分かる通り、コンピュータが、インターネットが一般化している現代において、組織・団体がサイバーセキュリティにかけるべき重要度は高まってきています。対策していないのは危険です。

事実、世界全体におけるサイバーセキュリティの投資額は2014年で711億ドル、2015年で750億ドルと増加してきています。2018年(今年)には1,010億ドルになるとの予測も。世界的な風潮としても進められている訳なのです。

2.サイバーセキュリティの今後とは

世界全体としてすでにサイバーセキュリティの重要度が増しているのは確かです。では、より具体的に日本として、組織・団体としてサイバーセキュリティにどう向き合っていく必要があるか?サイバーセキュリティの今後をご説明しましょう。

サイバーセキュリティの基礎基本と3つの対策

組織・団体での積極的な意識改革が必要!

基本的な考え方として、「サイバーセキュリティに対する意識改革」が今後はより重要視されます。現在、残念なことにサイバー攻撃の危険性は何となく理解しつつも、万全な対策を講じていると言える組織・団体はまだまだ少ないです。

特に、経営陣は積極的に活動していても、社員にまで意識が浸透していないことが。いくら代表が「セキュリティの強化を!」と掲げていても、社員が冷めていては効果を発揮できません。むしろ社員から積極的になる環境作りが大切です。

総務省から「サイバーセキュリティ基本法」のお知らせ

サイバー攻撃、サイバーセキュリティの問題はなにも民間のみの話ではなく、すでに「国家レベル」の問題としても発展してきています。数年前には元CIA職員が米国国家安全保障局から情報を不正入手し、暴露した事例もあったほど。

2015年1月9日、日本政府はこうした世界情勢を鑑みて「サイバーセキュリティ基本法」を施工しました。同法律とは、サイバーセキュリティ戦略の基本事項を効率的に推進するためのもの。行政・民間に基本方針を示したものです。

総務省 サイバーセキュリティ基本法

中小企業もサイバー攻撃の標的にされる

サイバー攻撃と聞くと、どうしても「大企業の問題でしょ」と思いがちかと思います。確かに、得られる利益を考えるのなら、第三者の思考的にも大企業がメインターゲットになりやすいもの。しかし、中小企業も標的になる可能性はあります。

日本の社会全体的に、中小企業の占める割合はとても大きなものです。特に、ITベンチャーなどは組織規模こそ中小であっても、情報・金額的には大企業に引けを取らないことも。誰が・いつ・どこで狙われてもおかしくはない訳です。

3.サイバーセキュリティを怠ると?

「誰しも狙われる可能性はある」と考え、つねに万全のサイバーセキュリティを実践することが求められています。しかし、先述した通り、残念なことにまだまだ十分とは言えない組織・団体も。では、サイバーセキュリティを怠るとどうなるのでしょう。

サイバーセキュリティの基礎基本と3つの対策

情報が盗まれる(改ざんされる)

サイバー攻撃でもっとも多いとされるのが「情報の窃取・改ざん・漏洩」です。商品情報、顧客情報を始めとして組織・団体には機密情報が数え切れないほど保管されています。当然、万が一にでも機密情報を盗まれるのは問題です。

情報漏洩も問題ですが、商品情報(システム)を改ざんされると業務が正常に機能しなくなる可能性が。原因の究明、復旧には時間・費用がかかりますし、社内外に対しても説明・賠償責任などの発生する恐れも十分にあります。

社会的(顧客からの)信用を失う

情報漏洩にも関係することで、サイバー攻撃に遭うことだけでも社会的(顧客からの)信用を失うことが。では、もし大切な自社情報を預けている取引先がサイバー攻撃の被害に、情報漏洩や情報改ざんに遭っていたとしたらどうでしょう。

おそらく「あの会社(取引先)は情報管理さえまともにできていない」と判断し、今後の取引を考えなおすのでは?つまり、反対に自社がサイバー攻撃に遭えば、周りの取引先も同様に考え、取引しなくなる可能性もありえるという訳です。

犯罪行為などに巻き込まれる

経済的に、社会的に大きな損害につながるサイバー攻撃では、さらに犯罪行為などに巻き込まれる危険性も含まれています。サイバー攻撃の手口にはセキュリティの甘い入り口から侵入し、他のネットワークに攻撃を仕掛けるものも。

警察の捜査網を撹乱するための手口で、もし自社のネットワークがサイバー攻撃の踏み台にされれば、捜査対象として疑われることもあります。また、盗まれた顧客情報、クレジットカード情報などが犯罪利用されることは珍しくありません。

4.サイバー攻撃の種類とリスク

「サイバー攻撃」と一括りにしてきましたが、実はいくつかの種類があります。むしろ、サイバー攻撃の手口は有名・無名を合わせると数え切れないほど。そこで、まずは知っておきたい、有名なサイバー攻撃の手口とリスクをご説明しましょう。

サイバーセキュリティの基礎基本と3つの対策

5.サイバー攻撃の事例集

サイバー攻撃の危険性、サイバーセキュリティの重要性はご理解いただけたと思います。しかし、実際に対策するとして「本当に自社で必要なのか?」とまだ半信半疑な方も多いはず。そこで、実際のサイバー攻撃事例集をご紹介しましょう。

サイバーセキュリティの基礎基本と3つの対策

情報を人質にした事例

米国に存在するA病院において、ランサムウェアを手口とした患者情報などの人質事件が発生しました。ウイルス感染した端末とは知らず、病院内のネットワークにアクセスしたのが原因の1つとされ、機密情報の多くが暗号化される事態に。

暗号化された情報が業務上欠かせないものだったこともあり、病院側は犯罪者(組織)の提案を受け入れることに。「1万ドル以上」、2018年現在の価値に換算して100万円以上もの身代金を支払うことで情報を取り戻したのです。

愉快犯的な犯行事例

ハクティビスト(自身の主義主張を強行する個人や犯罪組織)が、B製造会社の運営するホームページに対してDDoS攻撃を行いました。サイバー攻撃を受けたサーバーはダウンし、1週間近くもホームページを閲覧できない事態に。

具体的な損害は出ていないものの、愉快犯的な犯行による機会損失は計り知れません。サイバー攻撃でもっとも恐ろしいのは、明確なターゲットを持たない愉快犯と言われているほど。ターゲットがないだけに、誰でも狙われる訳です。

100億円規模の事例

米国に本拠地を置く、世界最大のC通販会社の運営する通販サイトが、何らかのサイバー攻撃により数時間だけダウンしました。同時間は定期的に開催されていたセール期間内だったこともあり、C通販会社の機会損失は甚大なものに。

シンガポールやオーストラリアなど世界的に開催されていたセールだったことから、機会損失は100億円以上にものぼるとのこと。損失額の大きさも驚きですが、それ以上に世界的な大手企業でさえ被害遭ったという事実に注目です。

6.セキュリティ対策の基礎基本とは

サイバーセキュリティに相当な投資をしていたはずの大手企業でさえ、サイバー攻撃の被害に遭うことがあります。つまり、中小企業はそれだけセキュリティ的リスクを抱えているということ。では、セキュリティ対策の基礎基本を見ていきましょう。

サイバーセキュリティの基礎基本と3つの対策

定期的な情報収拾

サイバーセキュリティで基本となるのは「定期的な情報収集」です。

年々悪質化・多様化するサイバー攻撃の手口はもちろん、組織・団体内における実践内容と成果について。最新の情報をつねに把握することで、より正しいサイバーセキュリティを施すことが。当然、情報元は信頼できることが大前提です。

情報収拾後の解析

情報収集をしたら、次は「収集した情報の解析」を行います。

ただ情報を収集しただけでは、サイバーセキュリティの二歩目にはつながりません。収集した情報が正しいものなのか、足りていない情報はないかなどを。情報を多角的に評価し、検証することでより戦略的なセキュリティ対策を構築できます。

解析結果の活用

収集した情報の解析が完了したら、最後に「解析結果の活用」を。

サイバー攻撃の手口は年々悪質化・多様化しています。現在の対策が明日には古くなっていることも。解析結果ともとに、現在の対策で耐えられるのかを検討し、脆弱性に対してその都度対応することこそサイバーセキュリティなのです。

7.サイバーセキュリティの3つの対策

先述した、サイバーセキュリティの基礎基本はあくまで概念的なものでしかありません。より実践的な行動に移るためには、より具体的な対策を知っておく必要が。現在、サイバーセキュリティにおいてまずやるべき3つの対策をご紹介しましょう。

サイバーセキュリティの基礎基本と3つの対策

技術的対策

1つ目は「技術的対策」。

サイバー攻撃の多くはウイルスソフトやマルウェア、ランサムウェアなどを利用したもの。これら攻撃ツールに対しては、ファイアウォールやウイルス対策ソフトなどを導入することでおおよそ対応できます。もちろん、最新版であることは必須です。

また、各システム、ネットワークにアクセスするときには「2段階のパスワード認証」も有効です。1段階のパスワードでは機械的に解読される恐れが。通常のパスワードに加えて、一時的なセキュリティコードを要求することで強化できます。

物理的対策

2つ目は「物理的対策」。

「サイバー攻撃=外部のネットワークから」というイメージがあると思います。しかし、実際には直接オフィスに侵入し、パソコンやサーバーに対して物理的に攻撃を仕掛ける手口も。入退室管理を徹底し、防犯設備の充実も必要なのです。

米国国家安全保障局の事例にように、現役職員が何らかの主義主張により内部から情報を盗み出すこともありえます。「社員を疑うなんて…」と思う気持ちも分かりますが、社員であれば誰でも情報にアクセスできる状態は避けるべきです。

人員的対策

3つ目は「人員的対策」。

何度か説明してきた通り、いくら経営陣がサイバーセキュリティに積極的であっても、社員の認識が甘いままでは十分な対策は取れません。ウイルス付きメールを不注意で開けてしまうなど、きっかけは社員であることが珍しくないのです。

まず、社員に対してサイバーセキュリティ講習を定期的に実施し、認識の再確認を行いましょう。その上で、パソコンやサーバーなど情報関連機器の取り扱いルールの明確化を。万が一、問題が発生したときの初動も決めるとなお良いです。

8.セキュリティ関連の資格一覧

正直、サイバーセキュリティは基礎基本を除き、その多くが専門知識と言えます。より効率的なサイバーセキュリティを施すには、専門家の意見を取り入れる必要が。そこで、取っておくと便利な、セキュリティ関連の資格を一覧にしました。

サイバーセキュリティの基礎基本と3つの対策

情報処理安全確保支援士

情報処理安全確保支援士とは、経済産業大臣の認定する国家資格の一種。取得することでサイバーセキュリティに関連する基礎知識はもちろん、状況調査から分析、適切な解決案の提示までコンサルティング的な活動が可能です。

現在、サイバーセキュリティ関連資格におけるもっとも求められるものなだけに需要は高く、その分だけ難易度も高めに設定されています。合格率16%ほどと、法律関係並みの難しさですが取得することでのメリットを考えるとおすすめです。

情報処理推進機構 情報処理安全確保支援士

情報セキュリティマネジメント

情報セキュリティマネジメントもまた、経済産業大臣の認定する国家資格の一種です。「情報セキュリティ」の重要性が叫ばれる昨今を鑑み、セキュリティの脆弱性を把握し、適切なリスク管理や対策、法案等の知識を学べます。

標的型攻撃やDDoS攻撃、内部不正アクセスなど組織・団体にとってより身近な問題をベースにした問題が多いのが特徴。難易度は情報処理安全確保支援士よりも低く、合格率は58.4%と十分に合格を狙えるレベルでしょう。

情報処理推進機構 情報セキュリティマネジメント

SPREAD情報セキュリティサポーター

SPREAD情報セキュリティサポーターとは、一般社団法人 セキュリティ対策推進協議会の提供するインターネット関連のセキュリティ対策能力検定です。主に、サイバーセキュリティ以前の、インターネットセキュリティの知識が問われます。

初心者向けの検定なので難易度はとても低く、合格率70%ほどと第一歩にはぴったりです。また、次のステップとしてより高いインターネットセキュリティ知識を問われる、「SPREAD情報セキュリティマイスター」検定も存在しています。

一般社団法人 セキュリティ対策推進協議会 SPREAD情報セキュリティサポーター

ネットワーク情報セキュリティマネージャー

ネットワーク情報セキュリティマネージャーとはネットワーク情報セキュリティマネージャー推進協議会の開催する、情報セキュリティのスペシャリストを認定するための公的資格。サイバー攻撃だけでなく、ハッカー(クラッカー)対策も学べます。

取得するには2〜3日間の講習会を受講し、認定試験(最終日)に合格する必要が。合格率は非公開なものの、取り扱っている内容から合格率は50%以下だと推測できます。システム担当者にはぜひ取得してもらいたい資格です。

ネットワーク情報セキュリティマネージャー推進協議会 ネットワーク情報セキュリティマネージャー

シスコ技術者認定

シスコ技術者認定とは国際資格としても扱われている、サイバーセキュリティ関連の民間資格です。主に、ソフトウェアに関わるより技術的・専門的な知識の多いのが特徴。国際的にもセキュリティエンジニアには必須とされているほど。

難易度は初級の「CCENT」から、基本の「CCNA Cyber Ops」。上級の「CCNA Security」や「CCNP Security」、「CCIE Security」と段階的に分かれています。もし、上級資格を取得できたら相当な知識量だと言えるでしょう。

シスコシステムズ合同会社 シスコ技術者認定

9.まとめ

サイバーセキュリティの基礎基本と3つの対策

サイバーセキュリティとは、「コンピュータを第三者からの不正な攻撃(サイバー攻撃)から守る」対策のこと。誰しもコンピュータを、インターネットを自由に利用できる現代において、「サイバーセキュリティ」は考えざるをえない状況にあります。

しかし、残念なことにインターネット関係の組織・団体でさえまだまだサイバーセキュリティの知識・技術は不十分なところが。まして、一般の中小企業のほとんどはセキュリティに脆弱な部分があり、いつ攻撃を受けても不思議ではありません。

ぜひ、今回紹介したサイバー攻撃のリスクを理解し、今からでもサイバーセキュリティを再検討してみてください。