見出し画像

『あなたのセキュリティ対策は、それで本当に大丈夫ですか?! 絶対知っておきたいサイバーセキュリティ対策の基本』序章・無料全文公開

ごきげんビジネス出版

書籍『あなたのセキュリティ対策は、それで本当に大丈夫ですか?! 絶対知っておきたいサイバーセキュリティ対策の基本』より、序章「セキュリティ対策ってどんなこと?」の全文を公開します!
※内容は出版時(2017年)のものになります。

1.サイバーセキュリティとは

 昨今「サイバーセキュリティ」「サイバー攻撃」といった言葉をよく耳にします。政府は2010年より毎年2月を「情報セキュリティ月間」としていましたが、2016年に「サイバーセキュリティ月間」に改称され、国家レベルでこの対応を進めていかなければいけないという政府の思惑が垣間見られます。ここ数年のサイバーセキュリティをめぐる主な動きは以下のとおりです。

2014年11月 「サイバーセキュリティ基本法」施行
2015年1月 「内閣サイバーセキュリティセンター(NISC)」設置
2015年12月 「サイバーセキュリティ経営ガイドライン」策定
2016年8月「企業経営のためのサイバーセキュリティの考え方」策定

「情報セキュリティ対策は取り組んでいるが、サイバー攻撃への対策なんて大企業が考えることでしょ」なんて思われていないでしょうか。そもそも「情報セキュリティ」と「サイバーセキュリティ」とは何が違うのでしょうか。

「情報セキュリティ」とは、情報資産を守るためのトータルな仕組みづくりにフォーカスした表現です。情報資産を取り扱う場所の施錠管理などの物理的対策、取扱手順を定めて遵守するなどの組織的対策、ウイルス対策ソフトの導入や暗号化の実施などの技術的対策と広範囲をあらわします。

「サイバーセキュリティ」とは、サイバー空間にフォーカスした表現です。コンピュータへの不正侵入、データの改ざんや破壊、情報漏洩、コンピュータウイルスの感染などのサイバー攻撃に対する防御行為となります。言葉の意味としては「情報セキュリティ」の方が広範囲をあらわすのですが、サイバー空間は容易に国境を越えてしまうため、テロ対策を含めたさまざまな攻撃への対応を検討する必要が出てくるのです。

「サイバー攻撃」は、大きく2種類に分類できます。

1つはターゲットを特定せず、迷惑メールやセキュリティホールを悪用するウイルスなどを無差別に送りつけて、組織や個人に混乱をもたらす古典的なものです。

もう1つは組織や個人にターゲットを絞り、あらゆる手段を用いて目的の情報を盗む、サービス機能を失わせる(DDoS攻撃)、システムの制御を奪ったりするものです。これらは標的型攻撃と呼ばれ、近年増加しており、手口も巧妙化しています。

「サイバー攻撃」被害に遭わないためには、このような攻撃の手口を認識しておくことが重要です。

2015年5月に日本年金機構が保有する個人情報約125万件がサイバー攻撃で漏えいした事件を受けて、「サイバーセキュリティ基本法」において、国として監視をする対象を指定法人までに拡大する改正案が2016年4月15日に成立しました。今後、監視対象が一般企業まで拡大されることは十分に考えられます。

この法律の第十五条では、「国は、中小企業者その他の民間事業者及び大学その他の教育研究機関が有する知的財産に関する情報が我が国の国際競争力の強化にとって重要であることに鑑み……」とあり、サイバーセキュリティに対する取組みの促進を促しています。

2.セキュリティ対策の基本

 インターネットが広く一般に使われるようになってから約20年が経ちました。この間、私たちを取り巻く環境の中での情報化が進み、「いつでも、どこでも、何でも、誰でも」ネットワークに簡単につながる社会へと変貌してきました。今では、情報システムが日常生活の隅々まで普及し、簡単に利用できる社会となっています。

当然のことながら、私たちが日々取り扱う情報量は増え、その蓄積・保存・共有・活用もやりやすくなっています。情報の特徴としては、組み合わせるなど再利用が容易なことがあげられ、それにより情報の価値が増大しているといえます。

たとえば、小学生向けの通信教育教材を販売する企業が保有する顧客の住所・氏名といった個人情報を考えてみてください。これはただの個人情報ではなく、小学生の子どもをもつ家庭の個人情報となり、2つの要素が組み合わさった情報です。同様に小学生をターゲットとした学習塾やおもちゃ屋さんなどにとっては、マーケティングの面でとても価値のある情報になります。

もう1つの特徴として、複製が容易であることがあげられます。印刷したり、USBなどの記憶媒体にコピーしたり、インターネット経由でコピーしたりすることで、簡単に自分のもののように扱えてしまうのです。これは皆さんが利便性として感じていることであり、簡単に窃取されてしまうことの裏返しでもあります。

このように情報自体の価値向上複製の容易性から、情報を窃取することを目的とした犯罪が増加しており、セキュリティ対策の必要性が年々高まっています。

セキュリティ対策とひとことでいっても、企業・組織における対策と一般の利用者における対策は同じでしょうか。企業でお勤めの方であれば、所属する組織の中でセキュリティに関する規則を遵守することが求められます。個人としても重要な情報を扱っていますが、同じように取り扱っているわけではありません。皆さんの多くは、規模はさまざまながらなんらかの組織に所属しており、セキュリティ対策はどこまでやればいいのかと感じられているのではないでしょうか。

企業・組織における対策は立場により対応が異なりますが、技術的な対策、人的な対策、組織的な対策、物理的な対策を適切に実施する必要があります。

技術的な対策では、ウイルス対策ソフトやファイアウォールなどの正しい配置と運用による防御、ならびに常時監視、定期チェックによる検知・発見が必須となります。

人的な対策では、従業員一人ひとりに対して適切な監督・教育を行い、規則遵守の徹底や、判断力を養っていくことでセキュリティリスクへ対応していきます。

組織的な対策では、ルールをつくり、そのルールを守る取り組みの実施およびPDCAをうまく回していくことが重要です。

物理的な対策では、オフィスへの入退室・施錠管理、PCなど情報機器やUSBメモリ・紙などの記録可能な媒体の管理を適切に実施する必要があります。

一般の利用者にとっての対策は、企業の技術的な対策と同様に、ウイルス対策ソフトやパーソナルファイアウォールの導入があげられます。これ以上に重要となってくるのは、利用者自身が情報セキュリティに対して高い意識をもち、細心の注意をはらうことです。このようなサイバー攻撃者の罠に安易にひっかかることはないでしょう。

以上は基本的な対策になりますが、これらは最低限実施すべき事項となります。ちょっとした隙を狙って攻撃をしかけてくる悪意のある攻撃者から重要な情報を守ることを考えると、対策を打てば終わりではありません。実際に起こっている事例などから、最新の情勢を知ったうえで高い意識をもって行動することが必要なのです。

3.最近のセキュリティ脅威

 皆さんは、情報処理推進機構(以降IPAと記す)が2006年より毎年公表している「情報セキュリティ10大脅威」という資料をご存知でしょうか。この資料は、情報セキュリティ分野の研究者、企業の実務担当者など約100名から構成される「10大脅威執筆者会」メンバーの審議・投票によってトップ10を選出し、各脅威についてメンバーの知見や意見を集めて解説したものです。

2015年において社会的に影響が大きかったセキュリティ上の脅威として、どのような脅威が取り上げられていたかを確認してみましょう。

第1位は、「インターネットバンキングやクレジットカード情報の不正利用」でした。インターネットバンキングの利用者をターゲットにしたマルウェアによる不正送金被害、あるいはフィッシング詐欺による金銭的な被害です。警察庁によれば、2015年における不正送金の被害額は約31億円に上り、昨年の約29億円から増加して過去最悪を記録しました。一昨年が約14億円だったことを考えると、ここ数年で被害がかなり広がっています。昨年は特に信用金庫の法人口座の被害が急増しており、中小企業などが狙われているようです。このように被害金額の上昇や被害の広がりに伴い、前年に引き続き1位となっています。

第2位は、「標的型攻撃による内部不正による情報漏えい」となりますが、2015年5月には日本年金機構における情報漏えい事件を機に大きくメディアで取り上げられました。また、2016年5月にもJTBにおける情報漏えいが発生しています。日本年金機構は「基礎年金番号」を含む約125万件の個人情報、JTBは「パスポート番号」を含む約679万件の個人情報が漏えいしました。皆さんも記憶に新しいのではないでしょうか。

第3位は、「ランサムウェアを使った詐欺・恐喝」です。「ランサムウェア」という言葉は聞きなれないかもしれません。PCなどの画面をロックしたり、格納されたファイルを暗号化するマルウェアになりますが、2014年末頃から日本語表記のランサムウェアが増え、2015年10月以降被害が拡大しています。詳細はのちほど紹介します。

これらの多くは、いずれも「昔からある脅威」です。その時々で話題となっている攻撃や手口は変わりますが、「脅威は大きく変わらない」のです。

過去数年間で取り上げられた脅威を下表にまとめてみました。これを見て皆さんはどのように感じるでしょうか。ある日突然、ビックリするような目新しい手口が出てくるのではなく、「Webサイトへの攻撃」「脆弱性を狙った攻撃」といった、「ベタ」な手口が繰り返し浮上していることです。これは、基本的なセキュリティ対策の重要性を示すものです。

 

逆にいえば、同じような脅威がたびたび取り上げられ、対策として「ソフトウェアの最新化」「ID/パスワードの適切な管理」「設定の見直し」といった呼び掛けが出てくることは、これらの対策がまだ十分にできていないということでもあります。

4.ウイルス対策ソフトの有効性

 ウイルス対策ソフトは、広く普及している情報セキュリティ対策の手段のひとつです。皆さんもパソコンやスマートフォンを利用する際のセキュリティ対策として、はじめに思いつく対策なのではないでしょうか。家電量販店などでパソコンを購入したことがある方であれば、店員に同時購入をすすめられた経験があるでしょう。ただし、多くの方が「必要にせまられて……」「仕方なく……」導入しているのではないでしょうか。

インターネットを利用している世帯におけるセキュリティ対策の実施状況についてみると、73.2%の世帯は何らかの対策を行っており、主な対策としては「セキュリティ対策ソフトの導入もしくは更新」(53.0%)と回答しています。

 また、情報通信ネットワークを利用している企業における情報セキュリティ対策の実施状況についてみると、なんらかの情報セキュリティ対策を実施している企業の割合は98.9%となっています。主な対策としては、90.8%の企業が「パソコンなどの端末(OS、ソフトなど)にウイルス対策プログラムを導入」と回答しています。

ウイルス対策ソフト開発企業は、日々新しいウイルスを解析し、パターンファイルを更新して配信しています。これにより、ウイルス対策ソフトで膨大な種類のウイルスを検知可能となります。既知のウイルスの感染を未然に防止するために、ウイルス対策ソフトの導入は必要不可欠な対策なのです。

それでもウイルス感染による被害が後を絶ちません。

パターンファイルとは、いわば指名手配犯の写真です。すでに罪を犯した犯罪者の写真がなければ検挙できないのです。また、犯人が整形してしまうと、犯人と断言できなくなります。現在はパターンファイルで特定された不正プログラムの一部分を改造した新たなウイルスを含む未知のウイルス(脅威)やゼロデイ攻撃が増えており、パターンファイルだけでは検知が難しいのです。

ゼロデイ攻撃というのは、ソフトウェアの開発者やセキュリティ企業などが対応できていない未知の弱点をついた攻撃のことをいいます。ウイルス対策ソフトはこうした弱点を前もって探すのではなく、既知の弱点から守るためのものです。銀行強盗の手配ポスターを銀行員に配布するようなものです。

2014年5月に、ある有名なウイルス対策ソフト開発企業の幹部が、「アンチウイルスソフトは死んだ」と発言して話題になりました。発言内容によると、ウイルス対策ソフトで防げる攻撃は全体の45%程度しかないということです。

これには2つのメッセージが含まれています。

1つは、先ほど述べたように既知のウイルスだけを防ぐというアプローチが死んだということです。もう1つは、ウイルス対策ソフトだけを導入しておけば安心という時代が終わったということです。

ウイルス作成者は、新しい巧妙な手口を日々模索しており、ウイルス対策ソフトの検知から逃れるウイルスも多くなっています。繰り返しになりますが、ウイルス対策ソフトだけですべてのウイルス感染から防御できるわけではありません。ウイルス対策ソフトの検知能力を過信せずに他の対策もあわせて行い、多層(多段)で防御していく必要があります。

ウイルス対策ソフトも進化しており、近年は未知のウイルスに対抗するため、ウイルスの振る舞いなどを研究し、検知手法に取り入れているものも登場しています。

5.マルウェア、標的型攻撃、ランサムウェアって何?

 これまで述べたように、「未知のウイルス」の存在や、従来のウイルス対策ソフトの特徴を考えると、攻撃者からの脅威から重要な情報を守ることは非常に難しくなっています。

しかし、このような状況が一般的には十分に認知されていないことが問題なのです。「ワンクリック詐欺」「フィッシング詐欺」「セキュリティホール」といった言葉の認知度が高いのに対し、「マルウェア」「標的型攻撃」「ランサムウェア」などの言葉の認知度は決して高いとはいえません。

 

「マルウェア」とは、「悪意のある」という意味の英語「malicious(マリシャス)」と「software」を組み合わせてつくられた、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。一般的に皆さんがウイルスと呼んでいるものと、ほぼ同義と考えてもらってよいでしょう。正確には、ウイルスはマルウェアの一部であり、マルウェアには次に挙げるような特徴があります。 

「標的型攻撃」とは、特定の組織内の情報を狙って行われるサイバー攻撃の一種です。攻撃者の狙いは企業や組織の機密情報ですが、最初の“踏み台”にされるのは従業員のPCです。攻撃者の手口は巧妙化の一途をたどっていますが、その手口の多くはほとんど知られていないのが実状です。

現在は、メールにウイルスを添付して直接送りつける手法が多用されています。メール以外では、未知の脆弱性を悪用し、特定の攻撃対象組織からの閲覧者に限ってウイルス感染させるように、ウェブサイトを改ざんした「水飲み場型攻撃」もあります。

標的型メール攻撃に関しては、「怪しいメールが送られてきたが、確認してもらえないか」「怪しいメールを開いてしまったが大丈夫か」などの問い合わせが増えてきているため、認知度があがってきていると実感していますが、まだまだその脅威を認識できているとはいえません。

「ランサムウェア」とは、ユーザーのPC上のデータなどを人質にして身代金を要求するマルウェアです(「ransom(ランサム)」は「身代金」という意味)。攻撃者はマルウェアに感染させて、データの暗号化や画面のロックを実施します。通常はマルウェアに感染した場合は、ウイルス対策ソフトなどでマルウェアを隔離もしくは駆除することで影響を極小化します。しかし、ランサムウェアの場合は感染してしまうと、攻撃者が持つ暗号解除のための「鍵」がないと元に戻らないのです。

繰り返しになりますが、このような攻撃の手口を認識しておくことが重要です。

*   *   *

第一章はここまで!
続きを読みたい方は、各電子書籍ストアにて発売しておりますので、是非お買い求めください。
下記リンクはAmazonストアでの商品ページになります。書籍の詳細と目次もこちらからご覧になれます。Kindle Unlimited会員の方は全章無料で読むことができますよ!
書籍『あなたのセキュリティ対策は、それで本当に大丈夫ですか?! 絶対知っておきたいサイバーセキュリティ対策の基本』

■書籍情報

あなたのセキュリティ対策は、それで本当に大丈夫ですか?!

セキュリティ対策なんて面倒だし、難しそうだし、お金もかかりそうだし、できればやりたくないと思われているかもしれません。

しかし、皆さんのまわりでは、日々セキュリティリスクが高まっているのです。

本書の目的は、技術的で難しい表現は極力さけ、皆さんのちょっとした心がけでリスクを下げられることを理解してもらうためですので、気軽な気持ちで是非読んでみてください。

身近で起きているセキュリティ事件・事故の事例からとるべき対策(例えば、SNSを例にとり、「アカウント乗っ取り」の被害事例と乗っ取り対策および乗っ取られてしまった場合の対処法)や、近い将来世の中がどのように変化し、その変化にどのように対応すべきかも紹介しています。

ぜひ、スマホをもっているアナタには、一度読んでいただきたい一冊です。

【目次】

序章 セキュリティ対策ってどんなこと?
ちょっとした油断から大量の情報漏えい
あなたのデータが人質にランサムウェア被害
あなたの口座も狙われている不正送金の手口
スマートフォンも危ない! あなたのスマートフォンは大丈夫?
SNSアカウント乗っ取りの恐怖
終章 「IoT時代」に向けて

【購入者特典】

「セキュリティ対策チェックリスト」と「セキュリティ関連お役立ちリンク集」

■著者プロフィール

 磯島裕樹

 情報セキュリティスペシャリスト/ネットワークスペシャリスト/中小企業診断士
大手システムインテグレーターに入社して、主に金融機関のシステム基盤の設計/開発/運用に従事しながら、新規システムの提案などに携わる。個人情報保護法施行の際には、セキュリティ対策強化に向けたシステム提案/導入、運用改善提案を実施。2014年に転職し、国内コンサルティング・ファームに入社後、コンサルタントとして数社のCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)の構築/運用支援を行った実績をもつ。

*   *   *
著者デビューの夢を叶える!「電子出版サロン」
5月の体験入学受付中! 無料ですのでお気軽にご参加ください😊
【詳細・日時・申込はこちら】

この記事が参加している募集

#スキしてみて

525,489件

この記事が気に入ったらサポートをしてみませんか?