情報セキュリティの基本(CIA)と3大脅威への対策とは
目次[非表示]
- 1.はじめに
- 2.情報セキュリティとは?
- 3.情報セキュリティ対策の基本中の基本
- 3.1.ソフトウェアの更新
- 3.2.ウイルス対策ソフトの利用
- 3.3.ID・パスワードの適切な管理
- 4.情報セキュリティの脅威―最新傾向と対策―
- 4.1.ランサムウェアによる被害
- 4.2.標的型攻撃による機密情報の窃取
- 4.3.テレワーク等のニューノーマルな働き方を狙った攻撃
- 5.まとめ
はじめに
「社内の機密情報を何者かに暗号化されてしまい、身代金を払わないと暗号を解除しないと言われ、払わなかったところ、盗み取られたデータの一部をWeb上に公開されてしまった。暗号化も解除できず、データバックアップもしていないので必要な情報が使えない・・。」
恐ろしいですね・・。
これは「ランサムウェア」と呼ばれる情報セキュリティを脅かす手法の一つです。
近年このような企業の情報資産を狙った脅威が多様化しています。
なかでも「ランサムウェア」、「標的型攻撃」、「テレワークを狙った攻撃」は近年の脅威トレンドとなっています。
次々と新しい脅威がでてくる中、情報システム部の皆さまが押さえておくべきポイントは何か?
それは、情報セキュリティ対策の「基本」が実施できているか?を定期的に見直すことと、最新の脅威についての情報をアップデートして対策していくことです。
本記事では情報セキュリティ対策の基本中の基本と、情報セキュリティの3大脅威である「ランサムウェア」、「標的型攻撃」、「テレワークを狙った攻撃」を中心に解説いたします。
情報セキュリティとは?
まず、情報セキュリティにおいては以下の3要素を確保するために情報をどう扱っていくかを考えることになります。
機密性 |
正当なユーザーだけが情報を使用できること |
完全性 |
情報が不正に改ざんされないこと |
可用性 |
必要な時に情報を使用できること |
これらは情報セキュリティのCIA(「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability))と呼ばれる要素です。
冒頭にお話したランサムウェアの被害の例であれば、「盗み取られたデータの一部をWeb上に公開されてしまった」の部分は機密性が、「暗号化も解除できず、データバックアップもしていないので必要な情報が使えない」の部分は可用性が損なわれていると言えます。
情報が「漏れない(機密性)」「壊されない(完全性)」「使えなくならない(可用性)」ように、必要な対策をとることが情報セキュリティ対策です。
情報セキュリティ対策の基本中の基本
情報セキュリティに対する脅威は多様化していますが、手口は似通っているものが多いため、基本的な対策を継続して行うことが重要です。
具体的には以下の3点ができているか定期的にチェックしてください。
▽ソフトウェアの更新
▽ウイルス対策ソフトの利用
▽ID・パスワードの適切な管理
ソフトウェアの更新
OSや各種ソフトウェアには脆弱性と呼ばれる情報セキュリティ上の欠陥が見つかる場合があり、攻撃者はこの脆弱性を狙って社内システムに侵入してこようとします。
脆弱性に対してはソフトウェアメーカーから修正プログラムが提供されるため、定期的にソフトウェアを更新し、修正プログラムを適用することで脆弱性を解消しましょう。
ウイルス対策ソフトの利用
社内システムに侵入した攻撃者はウイルスと呼ばれる不正プログラムをばらまくことがあります。
ウイルスの中には、データを勝手に外部に送信したり消去してしまうものもあります。
ウイルス対策ソフトを導入することで、ウイルスへの感染リスクが低減できます。
また、ウイルスも日々進化していますので、前述のソフトウェアの更新と同様に定期的にアップデートするようにしましょう。
ID・パスワードの適切な管理
社内システムにアクセスするためのID・パスワードが流出すると、情報資産への不正アクセスにつながるため、適切な管理が必要となります。以下のポイントをチェックしましょう。
・推測されにくいパスワードを設定する(数字・記号などを含める)
・他人の目につく場所に保管しない
・複数のサービスで同じパスワードを使いまわさない
・不要なアカウントは削除する
参照:(総務省)情報セキュリティ初心者のための三原則
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/intro/beginner/index.html
これらは情報セキュリティ対策の基本中の基本です。
基本対策を確実に行ったうえで、近年の脅威動向を知り、より強固なセキュリティ対策を検討しましょう。
情報セキュリティの脅威―最新傾向と対策―
IPA(情報処理推進機構)は毎年社会への影響度順に、情報セキュリティの10大脅威としてランキングを発表しており、2021年度のランキングは以下となっています。
1位 |
|
2位 |
|
3位 |
サプライチェーンの弱点を悪用した攻撃 |
4位 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
5位 |
内部不正による情報漏えい |
6位 |
脆弱性対策情報の公開に伴う悪用増加 |
7位 |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
8位
|
ビジネスメール詐欺による金銭被害 |
9位 |
予期せぬIT基盤の障害に伴う業務停止 |
10位 |
不注意による情報漏えい等の被害 |
参照:IPA「情報セキュリティ10大脅威2022」https://www.ipa.go.jp/security/vuln/10threats2022.html
ここでは「ランサムウェアによる被害」、「標的型攻撃による機密情報の窃取」、「テレワーク等のニューノーマルな働き方を狙った攻撃」について解説いたします。
ランサムウェアによる被害
ランサムウェアとは「ランサム(身代金)」と「ソフトウェア」を合わせた言葉で、データを暗号化・窃取した上で身代金を要求する不正ソフトウェアです。
今まではデータの暗号化のみだったところ、近年はデータを盗んだうえで暗号化し、「暗号化を解除してほしければ身代金を支払え、支払わなければ盗んだデータを公開する」という「二重の脅迫」と呼ばれるランサムウェアの手口が増えています。
対策としては、ランサムウェアの「感染を予防する」ことと、「感染した場合の被害を軽減する」ことが重要です。
感染予防としては、基本対策であげたソフトウェアの更新、ウイルス対策ソフトの利用が効果的です。
また、感染によるデータの暗号化に対しては日頃のバックアップが有効です。
バックアップを取っておくことで、万が一暗号化が解除できなかったとしてもバックアップ側のデータを参照することができます。
標的型攻撃による機密情報の窃取
標的型攻撃とは、ターゲット(標的)とされた企業に対して主にメールを使って不正ソフトウェアを送りこみ、情報の窃取を行う手口です。
メールを開封したり、添付されたファイルやURLに仕込まれた不正プログラムをクリックすることによって感染します。
対策としては、ソフトウェアの更新、ウイルス対策ソフトの利用に加え、不審なメールは不用意に開かないように従業員に注意喚起することが重要です。
※標的型攻撃メール訓練サービスとは? 自社で利用してみたら、3つの大きな効果があった話
※標的型攻撃対策なら「WatchGuard(ウォッチガード)」!
テレワーク等のニューノーマルな働き方を狙った攻撃
働き方改革によりテレワークが進む中、テレワーク用端末やVPNの脆弱性を狙った不正アクセスが増えています。
また、シャドーIT(企業が許可していないデバイスやアプリケーションの利用)によってもマルウェアに感染する危険性が高まります。
対策としてはVPNなどのテレワーク用システムの導入とソフトウェアの更新、ウイルス対策ソフトの導入に加え、業務で利用するアプリケーションのダウンロードを制限するなど、テレワーク端末の適切な管理を行うことが重要です。
※テレワーク時代の安全なデバイス管理には「シンプルデバイス管理」!
まとめ
さて、お気づきでしょうか。どの脅威に対しても基本的な対策は同じです。
・ソフトウェアの更新
・ウイルス対策ソフトの利用
・ID・パスワードの適切な管理
といった基本ができているかを定期的に確認することで、脅威に備えることができます。
ただし、あくまで基本は基本です。
情報セキュリティに対する脅威は日々進化しているため必ず「例外」が発生します。
いざ攻撃を受けた際にも落ち着いて対応するために、情報セキュリティ脅威のトレンドに合わせた対策のポイントを理解しておきましょう。
■関連記事
・【認証・認可】どうやって守る?? テレワーク時での情報資産の守り方【情報資産】
・【VPN 脆弱性】あなたの会社は大丈夫?? 在宅時代の落とし穴 【多要素認証】
・テレワークのセキュリティ問題を解決する!第1回 -モダンマネジメントのセキュリティ機能-
※この記事は、公開時点の情報をもとに作成しています。