サイバーセキュリティ　基礎知識

会社を経営していたり、事業を立ち上げようとお考えの方、
そして、そういったセキュリティに興味があるビジネスパーソン向けに書いています。

前回、サイバーセキュリティの重要性についてお話ししました。

今回は、それを受けて、そういった経営人材の方が、1人1人が今すぐできること、覚えるべきことを簡単にまとめてみました。

それでは、早速本題にうつっていきたいと思います。

1.サイバー攻撃の種類

まず、他者（他社）から意図的にサイバー攻撃される場合、
どのような方法があるのか「サイバーセキュリティ.com」を参考に書き出してみました。

◆サイバー攻撃の種類
1.標的型攻撃
2.ランサムウェア
3.水飲み場型攻撃
4.クリックジャッキング
5.ドライブ バイ ダウンロード
6.サプライチェーン攻撃
7.ビジネスメール詐欺(BEC)
8.キーロガー
9.ガンブラー攻撃
10.フィッシング詐欺
11.スミッシング
12.ビッシング・リバースビッシング
13.ゼロクリック詐欺
14.ジュースジャッキング攻撃
15.ディープフェイク(フェイクビデオ攻撃)
16.タイポスクワッティング
17.中間者攻撃
18.DoS攻撃/ DDoS攻撃
19.F5アタック
20.SQLインジェクション
21.OSコマンド・インジェクション
22.クロスサイトスクリプティング
23.バッファオーバーフロー攻撃
24.セッションハイジャック
25.セッションID固定化攻撃
26.バックドア
27.ルートキット攻撃
28.フォームジャッキング攻撃
29.ドメイン名ハイジャック攻撃
30.ブルートフォースアタック
31.パスワードリスト攻撃
32.クレデンシャルスタッフィング攻撃

とても多くて、覚えることすら難しいですね。
今すぐ、全てを覚える必要はないと思いますが、まず要点を絞り、気をつけるべきセキュリティ対策についてご紹介します。

2.特に気をつけるべきセキュリティ対策

情報システム担当の方や、セキュリティ関連のお仕事の方は、
個人情報の取り扱いに関する、ISMS（情報セキュリティマネジメントシステム）やプライバシーマークを導入する際に、セキュリティ対策の要点について学習されている方も多いと思います。

ご存知の通り、欧州発のGDPR（個人情報保護委員会）の動きなどもあり、

セキュリティ専門外の経営者や事業を立ち上げる方にとっても、事業活動をする際に、個人情報の取り扱いに関して、これからより、意識しないといけません。

そのため、セキュリティ対策をうっていないと、後々、大きな損失を被る恐れがあります。
紙、データにかかわらず、お客様に関わる情報を扱っている方、すべての方に該当します。

（私も、アプリ製作の際に、個人情報の取り扱いを一通り勉強しました）

そこで、一般的に気をつけるべき、サイバー攻撃を3つご紹介します。

①マルウェア
添付ファイルなどに含まれている、悪意のあるプログラムです。
知らないメールからきた添付ファイルなどを不用意に開かないようにしましょう。

②ランサムウェア
感染したサーバーやPCに蓄積したデータを暗号化して、身代金を要求する攻撃です。

③ゼロデイ攻撃
お使いのウイルスバスターなどのセキュリティソフトの未知の脆弱性に対する攻撃です。

基本的に、ウイルスソフト、ファイアウォールやVPNについて対策をされている方は大丈夫かと思いますが、②ランサムウェアや③ゼロデイ攻撃などへの対応は日頃から準備しなければいけません。

そこで、経営者や事業立ち上げの方で、自社内サーバーを事業活動で利用している方は、
セキュリティ対策のために、以下を、再度確認してみてください。

・（管理サーバーに紐づく）IPアドレス設定
・（管理サーバーに紐づく）ネットワーク設定
・（管理サーバーに紐づく）クライアント証明書の導入
・通信をウェブアプリケーションファイアウォールで監視
・サーバーやPCにファイル改ざん検知製品の導入

3.全体的なリスクへの対応はどうすればいい？

全体的なセキュリティリスクへの対応には、情報処理機構（IPA）が
フレームワークを用意しています。それぞれご紹介していきます。

①リスクの低減
②リスクの保有
③リスクの回避
④リスクの移転

リスクに備える場合は、以下の4つに全て収まります。
事前にこちらの考え方を知っていれば、緊急時に慌てず対応することができるでしょう。

①リスクの低減
脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げること
例えば・・・
・ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく
・サーバ室に不正侵入できないようにバイオメトリック認証技術を利用した入退室管理を行う
・従業員に対する情報セキュリティ教育を実施する

②リスクの保有
そのリスクのもつ影響力が小さいため、
特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容すること
こういう場合に・・・
・「許容できるリスクのレベル」を超えるものの、現状において実施すべきセキュリティ対策が見当たらない場合
・コスト（人、物、金等）に見合ったリスク対応の効果が得られない場合

③リスクの回避
脅威発生の要因を停止あるいは全く別の方法に変更することにより、リスクが発生する可能性を取り去ること
例えば・・・
・「インターネットからの不正侵入」という脅威に対し、外部との接続を断ち、Web上での公開を停止してしまうような場合
・水害などの被害が頻繁にあり、リスクが高いため、そのリスクの低い安全な場所と思われる場所に移転する

④リスクの移転
リスクを他社などに移す
例えば・・・
・リスクが顕在化したときに備えリスク保険などで損失を充当する
・社内の情報システムの運用を他社に委託する
・契約などにより不正侵入やウイルス感染の被害に対して損害賠償条項を設ける

こちらは、事業に携わる全ての方に必須の知識となります。

4.セキュリティリスクへの対応はどうすればいい？

特にセキュリティリスクで気をつけるべきは、社内外の「情報」です
こちらは、日本ネットワークセキュリティ協会（JNSA）からの引用です。

①機密性
②完全性
③可用性

それぞれ、以下の要素を念頭において、安全な状態を確保する必要があります。

①機密性
情報資産を正当な権利を持った人だけが使用できる状態にしておくこと
例えば・・・
・情報漏えい防止
・アクセス権の設定
・暗号の利用などの対策

②情報資産が正当な権利を持たない人により変更されていないことを確実にしておくこと
例えば・・・
・改ざん防止
・検出などの対策

③可用性
情報資産を必要なときに使用できること
例えば・・・
・電源対策
・システムの二重化
・バックアップ
・災害復旧計画などの対策

5.おわりに

経営、事業活動において、セキュリティへの対策を、リスクとして捉えて
実施していく必要がありますね。日々の学習をどんどん進めていきましょう。

（参考）
サイバー攻撃とは？その種類・事例・対策を把握しよう
https://cybersecurity-jp.com/column/14651#i-3

情報セキュリティマネジメントとPDCAサイクル
https://www.ipa.go.jp/security/manager/protect/pdca/risk.html

情報セキュリティの3要素
https://www.jnsa.org/ikusei/01/02-01.html