「サイバーセキュリティのリスクにはどのようなものがあるの?」
「具体的なサイバーセキュリティ対策について知りたい」
サイバーセキュリティとは、コンピューターやネットワークなどに存在する情報やサービスが、攻撃などによって改ざん、漏洩、停止することを防ぐ対策や手段のことを指します。
企業にとって欠かせないものであり、ビジネス継続のためには必要な対策を講じることが重要です。近年は攻撃手法が多様化しサイバー攻撃の被害件数も増加しているため、サイバーセキュリティ対策の実施が欠かせません。
本記事では、以下の内容を詳しく解説します。
- サイバーセキュリティの概要
- 近年の動向
- サイバーセキュリティのリスク
- サイバーセキュリティのためにやるべきこと
- サイバーセキュリティを強化するための対策
本記事を読むことで、サイバーセキュリティにおけるリスクや、脅威から情報を守るための対策方法が分かります。被害に遭うリスクを減らすためにセキュリティの強化を考えている企業の方は、ぜひご一読ください。
サイバーセキュリティに課題を抱えている企業の方、必見!
サイバーセキュリティのリスクにはどのようなものがある?
情報セキュリティポリシーの策定と、従業員への教育で組織全体のセキュリティ意識を向上させましょう。そして、具体的に取り組む際には、近年の脅威の傾向から優先順位を考えることも大切です。まずは、こちらの資料をご参考ください。
サイバーセキュリティとは何か
サイバーセキュリティとは、企業・組織が所持している情報やWebシステムをさまざまな脅威から守ることです。主な脅威には、以下のようなものが考えられます。
- サイバー攻撃による情報の盗取や破壊
- 地震・雷などの災害による機器の故障
- 社内関係者によるデータ持ち出しなどの内部不正
またサイバーセキュリティの保護対象には、以下のようなものがあります。
- PCやUSBなどのデバイス
- Webシステム・アプリケーション・ソフトウェア
- デジタル化されたデータ
- サーバー・ネットワークなどのインフラ
インターネットに接続していれば誰でも攻撃の対象となる可能性があるため、サイバーセキュリティで被害に遭うリスクを下げる必要があります。攻撃者は、企業が保有する機密情報や顧客の個人情報などを悪用するためにサイバー攻撃を仕掛けます。また内部関係者による不正が起こるリスクもあるでしょう。したがって、保護対象ごとに適切な対策を実施する必要があります。
ITを利活用する現代社会では、いつどこでトラブルが発生してもおかしくありません。万が一攻撃を受けた場合、情報漏えいによる信用の失墜、システム停止による経済的損失などの影響が考えられます。些細なきっかけで攻撃の隙が生まれることも考えられるため、サイバーセキュリティを適切に実施することが非常に重要です。
サイバーセキュリティと情報セキュリティの違いとは
サイバーセキュリティと似た用語に、情報セキュリティがあります。情報セキュリティは「情報の機密性・完全性・可用性を確保すること」と定義されています。
サイバーセキュリティと情報セキュリティの主な違いは、以下の通りです。
| 対応範囲 | 概要 | |
|---|---|---|
| サイバーセキュリティ |
|
サイバー攻撃や内部不正など、脅威となる原因に対処する方法を考える |
| 情報セキュリティ |
|
情報の流出や破壊を防ぐために、どのように情報を扱うかについて考える |
両者は情報システムや情報通信ネットワークなど、デジタル面での対策を行うことが共通しています。一方で紙面や人の頭の中の情報など、アナログ面に関する対策を実施するのは情報セキュリティのみです。
では、サイバーセキュリティのみに該当するものはないのでしょうか。例として、「攻撃予告段階での脅迫対応」と「踏み台攻撃」が挙げられることがあります。しかし、これらは可用性に影響が出ると考えられるため、十分に情報セキュリティの範疇だと言うことができるでしょう。
したがって2つの関係性は、情報セキュリティの大きな枠の中にサイバーセキュリティが含まれているイメージとなります。
サイバー攻撃の近年の動向
効果的にサイバーセキュリティを実施するには、サイバー攻撃の近年の動向も押さえておくことが大切です。本章では、以下の2点について解説します。
- 日本におけるサイバー攻撃の推移
- 被害が増加している情報セキュリティ脅威
攻撃のトレンドを把握し、サイバーセキュリティ対策に活かしましょう。
日本におけるサイバー攻撃の推移
サイバー攻撃を観測・分析できるシステム「NICTER」は、2021年度に約5,180億パケットものサイバー攻撃関連の通信を観測しています。2018年度から2.4倍も増加しており、今後もサイバー攻撃が猛威を振るうことが予想されるでしょう。
なお通信内容は、IoT機器を狙った通信が最多でした。その他にはWindowsを狙った通信や、ポートへの通信が上位を占めています。また「その他の通信」の占める割合が増えており、攻撃対象が多岐にわたっています。
被害が増加している情報セキュリティ脅威
IPAが発表した「情報セキュリティ10大脅威 2024」では、ランサムウェアによる被害が2021年以降4年連続で1位となっています。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
| 3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
| 4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
| 5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
| 6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
| 7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
| 8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
| 9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
対策は進んでいるものの、いまだ1位に浮上している背景には、手口の巧妙化があげられます。「二重」「四重」にも脅迫を重ねる手口の横行や、脆弱な関連組織を経由して行われるサプライチェーン攻撃など、金銭を得ることを目的としたランサムウェア攻撃において、成功率をあげるための新たな手口がどんどん生まれている状況があります。
▼関連記事
ランサムウェアとは|主な感染経路や対処法・予防策を解説
4位の標的型攻撃も引き続き上位にランクインしています。「サーバーセキュリティ|攻撃トレンドからみた必須対策とは」では、サーバーが狙われる攻撃の傾向や対策方法について解説しています。お読みいただき、標的型攻撃からサーバーを守る方法を確認することをおすすめします。
また、近年の動向として注目すべきは、2年続けて10位にランクインした犯罪のビジネス化です。ランサムウェアを簡単に作成できるサービスや、フィッシング詐欺を容易に実行できるサービスなど、犯罪を助長する取り引きが行われています。初心者でも簡単に攻撃できる環境が整いつつあるため、サイバー攻撃の件数もますます増加していくでしょう。
中小企業のECサイトを狙った攻撃の増加も問題に
コロナ禍以降、中小企業のWebサイトやECサイトの数が飛躍的に増加しました。中小企業はセキュリティ対策が十分ではない企業も少なくないため攻撃者に狙われやすく、被害の深刻度から政府も警鐘をならしています。
「ECサイトのセキュリティ|重要な対策方法をわかりやすく解説」では、ECサイトを運営するにあたり、把握しておきたいセキュリティ対策の情報が解説されています。ECサイトを運営している企業の方はお読みいただき、自社のセキュリティ対策を再確認することをおすすめします。
サイバーセキュリティで起こりうる4つのリスク
サイバーセキュリティで起こりうる代表的なリスクは、以下の4つです。
- データの改ざん・情報の盗取
- 情報漏えい
- Webサービスの停止
- ウイルス感染
本章では、リスクの具体的な内容や攻撃手法について解説します。
1. データの改ざん・情報の盗取
サイバー攻撃によってデータベースやサーバーが不正に操作されると、データを改ざんされたり情報を盗まれたりするリスクがあります。データを改ざんされると不審なサイトへのリンクを貼られたり、意図しない情報を記載されたりする危険があります。
データの改ざんなどを引き起こす主な攻撃手法は、以下の2つです。
SQLインジェクション
攻撃者がSQL文を悪用し、データベースを不正に操作する攻撃です。SQL文が実行されると、Webサイトの改ざん・データの盗取・情報漏えいなどの被害を受けます。
OSコマンド・インジェクション
攻撃者がWebサイトの入力フォームに不正な入力値を記載し、OSコマンドをサーバー上で実行する攻撃です。ファイルの改ざんや削除、データベースの破壊などのリスクがあります。
▼関連記事
SQLインジェクションの対策|被害事例と攻撃が起こる仕組みを解説
OSコマンドインジェクション|仕組みと脅威、効果的な対策を解説
具体的なセキュリティ対策方法や予防策を紹介しているので、サイバーセキュリティ強化のためにご一読いただくことをおすすめします。
2. 情報漏えい
第三者に不正アクセスされてWebシステムの管理画面に侵入されると、データが閲覧されて情報漏えいにつながります。またクロスサイトスクリプティングという脆弱性を狙った攻撃では、Webサイトに罠を仕掛けて偽サイトに誘導し、個人情報を入力させて情報を盗みます。セキュリティ対策が甘いと隙を突かれるため、十分な対策が必要です。
また口座情報やクレジットカード番号を盗取する目的で、偽メールを使ってフィッシング詐欺を行うケースも増えています。フィッシング詐欺とは実在の企業になりすましてメールを送信し、偽サイトへのリンクを踏ませて個人情報を入力させる攻撃手法です。フィッシングサイトやメールをすぐに作成できる犯罪者向けのサービスがあるため、詐欺を行うハードルが下がっています。被害を防ぐには、不審なメールは開封しないなどの社員教育を徹底する必要があるでしょう。
なお情報漏えいの原因となるクロスサイトスクリプティングについては「クロスサイトスクリプティング(XSS)|影響と対策をわかりやすく解説」で詳しく解説しています。具体的な対策方法を紹介しているので、ぜひご参考ください。
3. Webサービスの停止
サーバーに不正なコードや大量のデータが送信されると、負荷に耐えられずWebサービスが停止してしまうことがあります。Webサービスが停止している間は本来のサービスが提供できないため、収益発生のチャンスを逃すことにつながります。
Webサービスの停止を引き起こす主な攻撃手法は、以下の2つです。
DDoS攻撃
膨大なコンピューターから大量のデータを送信し、標的となるサーバーに負荷を与えてサーバーを停止させる攻撃です。Webサービスが停止するだけでなく、踏み台として犯罪に利用される危険もあります。
バッファオーバーフロー
大量のデータや不正なコードをサーバーに送信し、データ許容量をオーバーさせる攻撃です。Webサービスの停止や管理者権限の乗っ取りなど、さまざまなリスクが発生する可能背があります。
4. ウイルス感染
コンピューターがウイルスに感染すると、保存されているデータを盗まれたり、画面を盗み見られてクレジットカード情報を奪われたりするリスクがあります。また感染した1台のコンピューターから別のコンピューターへウイルスが広がり、被害の影響が拡大する危険もあります。
ウイルス感染でもっとも多い被害はランサムウェアです。感染するとデータが暗号化・ロックされて使用できなくなり、データの復旧と引き換えに身代金を要求してきます。
最近ではサービスに登録するだけでランサムウェアが簡単に作成でき、攻撃に成功すると報酬を受け取れるサービスが登場しています。身代金の交渉方法や支払いに関するサポートまで行うサービスもあり、誰でも簡単に参入できるため今後もランサムウェアによる被害は増加するでしょう。
サイバーセキュリティを実施するためにやるべきこと
サイバーセキュリティを実施するには、以下の2点を行う必要があります。
- 情報セキュリティポリシーを策定する
- 社員教育で組織全体のセキュリティ意識を高める
本章で説明する内容は、これからサイバーセキュリティを推進する企業だけでなく、ある程度セキュリティ体制が整っている企業にも役立つ内容です。特に長期間セキュリティ対策について見直していない企業は、ぜひご参考ください。
情報セキュリティポリシーを策定する
情報セキュリティポリシーとは、情報の機密性・完全性・可用性を維持するために行うべき組織の方針をまとめたものです。総務省は情報セキュリティポリシーを策定する際のポイントとして、以下の内容を提示しています。
- 企業全体で意思統一され、明文化した情報セキュリティポリシーを策定する
- 情報資産の重要度を分類・評価し、レベルに応じた対策を情報セキュリティポリシーに反映する
- 被害を防ぐ予防の視点だけでなく、被害に遭った際の対応についても盛り込む
- PDCAサイクルを回し、改善を図る
- 情報セキュリティポリシーの導入には、社員教育の実施方法を十分に考慮する
すでに情報セキュリティポリシーを策定している場合も、上記のポイントを満たせているか改めて確認しましょう。策定当時と現在の状況が変化しており、改善が必要なケースがあります。
また情報セキュリティポリシー策定には、「サイバーセキュリティ基本法」や「サイバーセキュリティ経営ガイドライン」などの法律・ガイドラインが役立ちます。以下で詳しく解説するので、ぜひ参考にしてください。
サイバーセキュリティ基本法
サイバーセキュリティ基本法とは、サイバーセキュリティを推進するための方針をまとめたITに関する法律です。Webシステムやネットワーク、データなどの安全性を確保するために、施策の基本となる事項を規定しています。
サイバーセキュリティ基本法が基本理念として掲げている内容は、以下の通りです。
- サイバーセキュリティへの脅威に対して、官庁や民間が連携して積極的に対応すること
- 国民一人ひとりのサイバーセキュリティに関する認識を深め、自発的な対応を促すこと
- 高度情報通信ネットワークの整備、ITの活用による活力ある経済社会の構築を積極的に推進すること
- サイバーセキュリティに関する国際的な秩序の形成・発展のために、先導的な役割を担うこと
- 国民の権利を不当に侵害しないよう留意すること
セキュリティ対策に関して、企業の役割や人材教育などの内容も盛り込まれているため、一通り目を通しておくとよいでしょう。
サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドラインとは、サイバーセキュリティ対策に関する経営者の責任について示したガイドラインです。経済産業省とIPAが共同して策定したもので、経営者が認識すべき3原則や、サイバーセキュリティ経営に関する重要な10項目がまとめられています。
サイバー攻撃の増加や手口の多様化などの問題に企業が対応するには、経営者がセキュリティについて理解を深め、具体的にどのような対策を行うのか判断する必要があります。さまざまな場面を想定したセキュリティ対策が具体的に示されているため、情報セキュリティポリシーの策定に活かせるでしょう。
業界別の役に立つガイドライン
セキュリティに関するガイドラインには、以下のように業界別に策定されたものがあります。
| 業界 | ガイドライン |
|---|---|
| 政府 | 政府機関等の情報セキュリティ対策のための統一基準 |
| 重要インフラ | 重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針 |
| 金融 | 金融機関などコンピュータシステムの安全対策基準・解説書 |
| PCIデータセキュリティスタンダード | |
| 電力 | JESC Z0004 |
| 医療 | 医療情報システムの安全管理に関するガイドライン |
| 鉄道(物流・航空も同様) | 鉄道分野における情報セキュリティ確保に係る安全ガイドライン |
| 水道 | 水道分野における情報セキュリティガイドライン |
自社の状況に合わせた情報セキュリティポリシーを策定するには、業界ごとのガイドラインを確認することも大切です。
社員教育で組織全体のセキュリティ意識を高める
サイバーセキュリティを実行するには、経営者や責任者だけでなく、社員一人ひとりがセキュリティ意識を高く持つことが大切です。セキュリティ意識が低い場合、不審なメールを開いてウイルス感染してしまったり、OSやソフトウェアの更新を怠って脆弱性を放置してしまったりする可能性があります。些細なミスによる被害を防ぐには、社員教育により組織全体でセキュリティ意識を高めなければなりません。
社員教育では、以下のような内容を指導するとよいでしょう。
- サイバーセキュリティの必要性を周知する
- サイバー攻撃の危険性や対策方法を教育する
- 私物の持ち込みを禁止する
- 社内データの持ち込み・持ち出しを制限する
- 許可のないITツールは導入しないなど、ルールを決めて遵守させる
教育の際にはセキュリティに関する資料を渡すだけでなく、セキュリティ研修を実施してしっかり情報を共有するようにしましょう。
サイバーセキュリティを強化する5つの対策
サイバーセキュリティを強化するための対策は、以下の5つです。
| 工程 | フェーズ |
|---|---|
| 1. OSやソフトウェアを最新状態に保つ | 初回設定&運用(必須) |
| 2. 安全なパスワードを使う | |
| 3. データをバックアップする | 運用(必須) |
| 4. セキュリティ対策ソフトを導入する | 運用(任意) |
| 5. 脆弱性診断を実施する |
必須事項はもちろん、任意のセキュリティ対策を実施することで脅威からWebシステムを守れる確率が高くなります。以下では具体的な対策方法やその効果を解説するので、実施を検討しましょう。
1. OSやソフトウェアを最新状態に保つ
OSやソフトウェアにはセキュリティ上の欠陥となる脆弱性が発見されることがあるため、定期的にアップデートして最新状態に保つことが重要です。古いバージョンのまま放置してしまうと、脆弱性を狙った攻撃により情報漏えいやWebシステムの停止など、さまざまな被害に遭うリスクが高まります。
OSやソフトウェアを最新状態にすることは、既に発見されている脆弱性に対応するには非常に有効な手段です。なお新たな脆弱性が見つかる可能性もあるため、修正プログラムが配布されていないか定期的に確認し、更新を欠かさないようにしましょう。
2. 安全なパスワードを使う
ID・パスワードが第三者に知られると不正アクセスされるリスクがあるため、安全なパスワードを設定することが重要です。以下の点を意識してパスワードを設定しましょう。
- 「数字+アルファベット(大小)+記号」を組み合わせる
- 10桁以上の文字列にする
- 意味を持たない文字列にする
短く単純な文字列だと、攻撃者にパスワードが解析される可能性があります。企業名や設立年など意味を持つ文字列も推測されやすいため、意味を持たない長めのパスワードに設定することが大切です。
また安全なパスワードを設定したとしても、複数のサービスで使いまわせば外部へ流出する可能性が高まります。パスワードが1つ流出するだけで被害があっという間に広がることもあるため、サービスやコンテンツごとにパスワードを管理するようにしましょう。
3. データをバックアップする
Webサイトが改ざん・削除される被害に遭ったり、地震や停電などでデータが消えたりする可能性があるため、データを定期的にバックアップしておきましょう。データが消えると企業の信用問題にも関わるため、顧客や取引先との重要なデータを損なうことなく保管することは重要です。
バックアップしておけば万が一の際にすぐデータを復旧できるため、元の状態に戻るまでの時間やコストも削減できます。
4. セキュリティ対策ソフトを導入する
セキュリティ対策ソフトを導入すると、脅威を防げる可能性が高くなります。代表的なセキュリティ対策ソフトは以下の3つです。
| セキュリティ対策ソフト | 概要 |
|---|---|
| ファイアウォール | 通信の送信元・送信先の情報を確認し、アクセスを制限してネットワークへの攻撃を防ぐ |
| IPS/IDS | OSやミドルウェアを狙った攻撃を検知・ブロックする |
| WAF | Webアプリケーションに潜むバグや不具合を狙った攻撃を防ぐ |
それぞれセキュリティの守備範囲が異なるため、状況に応じて複数のセキュリティ対策ソフトを導入するとよいでしょう。
なお「WAFとは|どこまで守れる?セキュリティ対策の効果をわかりやすく解説」では、WAFの詳細やファイアウォール・IPS/IDSとの違いについて解説しています。WAFで防げる攻撃の種類も詳しく紹介しているため、ぜひご一読ください。
5. 脆弱性診断を実施する
脆弱性診断とは、サイバー攻撃の対象となる欠陥がないか検証することです。診断を実施して設定の不備や脆弱性を早期発見できれば、情報漏えいやWebシステムの停止などの被害を未然に防げます。
Webシステムのリリース頻度が増え、開発を高速化させなければならない中で、開発者がセキュリティを意識しながら開発することが難しいケースも増えています。脆弱性診断ならば開発者に負担をかけず、効率的に問題点を発見できるため、安全性の高いWebシステムを提供できるでしょう。
なお「脆弱性診断(セキュリティ診断)とは|必要性からやり方まで、すべて解説」では、脆弱性診断の概要や必要性について詳しく解説しています。診断の種類ややり方も紹介しているため、ぜひ参考にしてください。
また「脆弱性診断ツール(サービス)|有料・無料の違いと5つの選定ポイント」では、脆弱性診断を自動化できるツールについて解説しています。併せてご一読ください。
まとめ|サイバーセキュリティ対策で脅威を未然に防ごう
サイバー攻撃の被害件数は年々増加しており、攻撃手法のトレンドも毎年変わっているため、企業が持つ情報やWebシステムを守るにはサイバーセキュリティの実施が欠かせません。
サイバーセキュリティを実施するには、まず以下の2つを行う必要があります。
- 情報セキュリティポリシーを策定する
- 社員教育で組織全体のセキュリティ意識を高める
セキュリティに関する法律やガイドラインを参考にして情報セキュリティポリシーを策定し、研修などを通して社員に内容を共有しましょう。
また、サイバーセキュリティを強化する対策は以下の通りです。
- OSやソフトウェアを最新状態に保つ
- 安全なパスワードを使う
- データをバックアップする
- セキュリティ対策ソフトを導入する
- 脆弱性診断を実施する
企業全体でサイバーセキュリティに取り組めば、対策の抜け漏れがなくなり被害に遭う可能性を大幅に下げられます。情報漏えいやデータの改ざんなどのリスクを防ぐために、セキュリティ対策の見直し・強化を行いましょう。
