トップ > 技術ナレッジのアーカイブ > こんな時代だからこそ考えたい サイバーセキュリティの基礎

2020.12.07

「知らなかった」では済まされないセキュリティの世界《第一回》こんな時代だからこそ考えたい サイバーセキュリティの基礎

#サイバーセキュリティ #フィッシング #スパイウェア #Saas

こんな時代だからこそ考えたい Uサイバーセキュリティの基礎

インターネットが市民権を得て、数十年。常にセキュリティの問題を抱えてきました。
セキュリティ被害は一部の人に降りかかる災難、と思われがちですが、実は身近な問題として存在しています。
サイバーセキュリティの最前線で取り組むテクノプロ・デザイン社の長島氏を招聘し、数回にわたりサイバーセキュリティ分野が抱える課題や対策などお話いただきます。
今回は「サイバーセキュリティとは」という基本的な認識についてお伝えします。

▼目次

話者紹介

長島 弘幸

2011年にキャリア入社。7年間PM兼プログラマーとして遊技機(パチンコ)を開発。
2019年にサイバーセキュリティへ転向。
Webアプリケーションやサーバ、各種ネットワーク製品の脆弱性診断およびTLPTチームのPM兼顧客窓口を担当。
趣味は映画鑑賞、カラオケ、ガンプラ(最近お休み中)。

サイバーセキュリティとは?

「サイバーセキュリティ」や「サイバー攻撃」といった言葉をニュースや新聞などで耳にされたことも多いのではないでしょうか?
昨今、個人情報や企業の機密情報などの漏洩や紛失といったニュースがよく見受けられるかと思います。

  • 不正アクセスにより発生した電子データ・機密情報の窃取や流出・改ざん
  • ウイルスやスパイウェアによる情報の窃取や改ざん
  • フィッシングサイトによる個人情報の窃取
  • 過剰な負荷攻撃によるWebサイトのダウン

上記のように、被害も手口も実に様々で、一般消費者が対象とされるフィッシング攻撃や、Webサービスの停止を狙ったDos攻撃、サーバや端末をロックして企業に身代金を要求するウイルス攻撃など、多種多様な被害や手口があります。
実際に、それらの攻撃で流失した個人情報や機密情報は、闇市場(ダークウェブ)というハッカー(攻撃者)が利用する隠されたインターネット空間にて高値で取引されており、クレジットカード情報や各種アカウント(ID/PASS)などが頻繁に取引されています。
そんな危険に満ちたインターネット社会の中で、企業は様々なセキュリティ対策が求められています。

2014年11月に「サイバーセキュリティ基本法」が国会で成立し、経済産業省が「サイバーセキュリティ経営ガイドライン」を策定、経営課題として明示されました。
企業はこの「サイバーセキュリティ経営ガイドライン」に則り、自社のネットワークやサービスのセキュリティ環境の整備が必要とされています。
この基本法とガイドラインから読み取れる「サイバーセキュリティ」とは下記になります。

  • あらゆるデジタルデータが漏洩、改ざんなどの危機にさらされないように安全管理を果たすこと
  • ITシステムが安全かつ信頼しうる状態で機能し、維持管理されていること

この二つを柱として「サイバーセキュリティ」という概念が成り立っています。
つまり、サービスが抱える個人情報、会社内に保管されている機密情報、それら守るべき情報資産への攻撃を、サイバー空間、物理問わず防御するセキュリティ環境を整えるとともに、システムやネットワークそのものの維持管理が求められています。それは、インターネット上からの「Webサービスを狙った攻撃」「企業内の機密情報を狙った攻撃」だけではなく、「記憶媒体などの持ち出しやコピー」などの物理的な内部犯行も防がなければいけません。

3つの対策が必要

こうした多方面に対する多層的な防御を施していく必要があるため、対策の選択肢も広範囲に及びます。
例えば、次の3つの対策が一般的に実施されています。
1つ目は電子技術的な対策です。
Web関連では、WAF(web application firewall)の導入、各種サーバの堅牢な設定、セキュリティを考慮した構築など。
ネットワーク関連では、ファイアーウォールやIPS/IDS、セキュリティソフト、SIEM、EDRなど。
2つ目は人的対策です。
メールの誤送信や器物紛失といった人為的ミス防止のセキュリティ教育、不正アクセスや情報漏洩の事後対応マニュアルの徹底、IDやPASSなどのアクセス管理の徹底など。
3つ目は物理的な対策です。
不審者や社員の不正行為の監視のために防犯カメラの設置、厳密な入退室管理、施錠の徹底など。

見えない脅威。対策を怠ると甚大な被害が

このように多方面でのセキュリティ対策を行うことで、各企業は自社ブランドイメージの価値を守っています。
当然、これらの対策はそれなりの費用が必要となります。しかし、ひとたび「サイバー事件(攻撃または社内犯行や人為的ミス)」が起こると甚大な被害が出ます。
個人情報や顧客情報の流出は損害賠償で数億円単位になる場合がありますし、システム停止により業務継続不能状態に陥れば企業活動が危ぶまれます。それだけではなく、株価にも多大な影響が出て最悪倒産となる場合もあります。
つまり、企業にとって「サイバー事件」は身近なものであり、セキュリティ対策を行うことが企業活動の大前提として掲げられていると言っても過言ではありません。

顧客や取引先の情報を流出させてしまうと被害は自社だけに留まりませんし、信用・ブランドイメージの低下といった深刻な被害、さらには訴訟問題まで発展するリスクが起こりかねません。
個人においても、キャッシュレスやネット通販、個人認証サービスなどの電子情報の取り扱いが推進されているため、これらから生じる被害やリスクは増え続けるでしょう。
「サイバー攻撃」の手口は年々巧妙化してきているため、セキュリティ環境のアップデートはもちろん、私たちのセキュリティ知識もアップデートを心掛けて、常に最新のセキュリティ動向を踏まえたセキュリティ対策を実施していきましょう。

Lineもしくはメールで情報をお届け!

LineではQRコードから登録していただくか「友だち追加」ボタンから登録できます。メールで登録ご希望の方はこちらから

※登録頂いた個人情報は次の目的で利用します。 ①テクノヒントからの情報発信②テクノヒント運用に関するアンケート依頼の案内など

友だち追加  >メールご希望の方

閉じる