ブログ

知らないでは済まされない!サイバーセキュリティのリスク

昨今、サイバーセキュリティ対策の重要性が至る所で聞かれます。これは今に始まったことではありませんが、スマートフォンの普及などによってウェブがありとあらゆるところで使われるようになってきたことや電子マネーが当たり前になってきたことが大きな要因と思われます。そのため、ウェブを活用しようとする企業にとっても、サイバーセキュリティ対策は避けて通れない課題であり、万一のリスクについて正しく理解しておくことが重要です。

また、サイバーセキュリティは企業や業種、経営者やエンジニアなどの立場によっても捉え方が大きく異なってきます。本記事では、ウェブを利用して顧客情報を取り扱うサービスを展開する企業を想定し、技術的ではなく企業的な観点から話を進めていきます。



サイバーセキュリティとは?

まず、サイバーセキュリティという言葉の定義を行います。 2014年に成立した『サイバーセキュリティ基本法』には以下のように記述されています。

第二条 この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。

サイバーセキュリティ基本法

上記に基づき、この記事ではサイバーセキュリティを『コンピュータに対する不正な活動による被害の防止のために必要な措置が講じられ、その状態が適切に維持管理するためのセキュリティ対策全般』と定義します。

次に、セキュリティを考えるときによく言われるCIAという3要素についてご紹介します。

CIAとは、『機密性(Confidentiality)』『完全性(Integrity)』『可用性(Availability)』の頭文字を取った略称です。

機密性
許可された人のみがその情報にアクセスできる、ということを指します。個人情報流出などの情報漏洩は機密性侵害の例になります。
完全性
情報が本来想定された状態から改ざんされておらず信頼できる状態を指します。ウェブサイトが改ざんされる事件をよく耳にしますが、これは完全性侵害にあたります。
可用性
情報にアクセスできる人は、いつでもその情報にアクセスできる、という意味になります。攻撃対象のサービスに大量の負荷をかけてサービス妨害を行うことは可用性の侵害にあたります。

なお、これらの事故は悪意を持った攻撃から発生するだけではなく、機器の物理的な故障や担当者のオペレーションミスによるものなども原因になり得ますが、本記事では明確に悪意を持った侵害行為に絞ってご説明することにします。


では、サイバーセキュリティはどのようにして脅かされるのでしょうか? 一般的には、セキュリティというと外部(多くは海外)からハッカー(*1)が不正にコンピュータに侵入して情報を盗んだり、コンピュータが使えないように壊したりといったイメージが強いと思います。もちろん、これは重要な問題であり適切な対策を取らなければいけませんが、実はこれだけで十分な対策ができているとは言えません。不正は外部からだけではなく、内部からも起こりうるからです(*2)。

そのため、外部からの不正アクセスから防御するための対策を講じるとともに、社内のセキュリティ対策についても整備を行う必要があります。

*1 厳密に言えば『ハッカー』という言葉は、『主にコンピュータや電気回路一般について常人より深い技術的知識を持ち、その知識を利用して技術的な課題をクリアする人々のこと(Wikipedia)』を指し、その行動が『破壊行為あるいは不正アクセスを伴う』場合は『クラッカー』という言葉を使うことが推奨されていますが、現状、ハッカーという言葉が広く浸透しているため、ここでは『ハッカー』を用いることにします。

*2 内部からの不正については、攻撃を意図したものではなくてもパスワードの不適切な管理や、コンピュータにアクセスできるスタッフの権限管理が不適切であるために起こりうる問題もあります。



代表的なリスクについて

サイバーセキュリティ対策が不十分であると、どのようなリスクが考えられるでしょうか? まず始めに知っておかなければいけないことは、100%安全な対策は存在しないということです。
例として、アンチウイルスソフトについて考えてみましょう。PCにアンチウイルスソフトをインストールすればウイルスの脅威から完全に防御できるかというとそうではありません。なぜなら、アンチウイルスソフトは世の中に出回っている全てのウイルスに対応しているわけではないからです。順番としては、ウイルスが開発されて実際に攻撃されて初めて脅威を発見できますので、そのウイルスを入手・分析した後にようやくアンチウイルスソフトで検出できるようになるのです(*1)。

同じように、PCやウェブサービスが稼働するセキュリティ更新プログラムについても、その多くは脅威が発見されてから対応がなされるため、どうしても後手に回ることになってしまい、全ての攻撃から防御できるわけではないのです(攻撃情報が認知される前に攻撃がなされることをゼロデイアタックと呼びます)。

*1 最近では、未知のウイルスを検出するためにAI/機械学習を使用した製品も出ており、検出精度の向上が期待されています。

そのため、一般的には自社のサービスや情報資産の重みを踏まえて、万が一リスクが発生した時の損害を考慮した上でセキュリティ対策を取ることになります。現実には、セキュリティ対策は売上に繋がるわけではないので、投資をためらってしまう方も多いと思います。しかし、車を購入したら自動車保険に入ることと同じように、ウェブでサービスを立ち上げたり、大切な情報を安全に管理するために必要な対策はしっかりと取っておきたいところです。

では、代表的なセキュリティリスクについてみていきましょう。

(1) マルウェアによる感染

マルウェアとはウイルスやスパイウェア、ボットなど悪意のあるプログラムのことをいいます。マルウェアに感染すると、PC内のファイルの盗み出しや破壊、スパムメールの発信、DDoS攻撃の踏み台として使われることがあります。また、1台が感染すると、同じネットワーク上のPCやファイルのやり取りをする取引先PCまで感染する危険があり、企業の信頼性を大きく損ねてしまう事態に発展することもあります。

(2) 不正アクセス

インターネット上には誰でも簡単に入手できる攻撃ツールが数多く出回っています。卓越した技術力を持ったハッカーだけではなく、スクリプトキディと呼ばれる他人の作ったツールを使用して攻撃を行う人も数多くいますので技術的な敷居もそれほど高くありません。不正アクセスされてしまうと、企業データや個人情報などの盗聴、データの改ざん、なりすまし、コンピュータの破壊などの攻撃を受けることが考えられます。

また、不正アクセスされたコンピュータが踏み台となって別のコンピュータを攻撃するケースも多くあります。そのため、個人情報などの重要データを持っておらず、サービスが停止してもさほど影響ないケースにおいてもセキュリティ対策を無視することはできません。

(3) サービス妨害

DoS攻撃と呼ばれるもので、サービスが稼働しているコンピュータやネットワーク機器に大量のデータを送って負荷をかけ、パフォーマンスを低下させたり、機能停止に追い込んだりする攻撃のことを言います。特に、DDoS攻撃は、世界中に散らばった多くの端末から一斉に攻撃を行うことが特徴です。DDoS攻撃はPCやサーバーからだけではなく、ウェブカメラやスマートフォンから仕掛ける手口もあります。

上記のような脅威を受けた場合、業務が中断してしまうだけではなく、自社のサービスを利用しているユーザーや取引先などにも損害が出ることになりますので、社会的信用を著しく落としかねませんし、損害賠償責任に発展することも少なくありません。リスク分析を正しく行い、万が一の時に備える姿勢が求められます。



主なセキュリティ対策

ここでは前述のセキュリティリスクから守るために考えられる主な対策について考えます。

(1) 社内セキュリティ対策の整備

いくらウェブサービスに高価なセキュリティ製品を導入したとしても、社内に穴があったら元も子もありません。怪しいソフトウェアをインストールしない、パスワードの付け方をルール化する、退職者のアカウントを停止するなど、当たり前のことを当たり前にできる体制づくりが必要になります。難しいパスワードを付けたが故に、ポストイットに書いてディスプレイの横に貼っているなど、本末転倒なこともよくあります。

また、社内のセキュリティ体制を整備するために、情報セキュリティポリシを策定することは非常に有効な手段になります。ISMS認証を取得することで、単にセキュリティ対策を行っているだけではなく、第三者の認証機関からお墨付きをもらえることによって顧客への信頼性につながる場合も多いでしょう。

(2) インターネット上の機器に関する対策

セキュリティ対策はウェブサービスが稼働しているサーバーだけではなく、ネットワーク機器なども含まれます。ファイアウォールやIDS/IPS、WAFなどの機器やサービスを利用することは重要な選択肢になり得ます。
また、サーバーのセキュリティ更新プログラムの適用、アクセス権を持つアカウントの管理などにも気を配る必要があります。サーバーの保守エンジニアやプログラム開発者、ウェブデザイナーなど関係者全員が同じアカウントを使いまわすことも見かけますが、誰かが退職した場合にパスワードを変えられない、誰がいつ何をしたのかログから追えないなど、多くの問題を抱えるリスクを知っておくことが大切です。
重要なデータにアクセスできるアカウントを特定することやアクセスできるPCやIPアドレスを制限するなど、さまざまなケースを想定して対策を立てることが重要です。

(3) セキュリティ意識向上への取り組み

サイバーセキュリティに関する技術は日々進化しています。攻撃者と防御者のいたちごっこになっているといえるでしょう。そのため、一度セキュリティ対策をしっかり行えばそれで安心できるというわけではなく、最新のセキュリティ動向をチェックしながら日々改善する姿勢が求められます。
専門のセキュリティ担当エンジニアがいない組織においてもある程度の知識は必須であり、高度な内容については専門家の知見を仰ぐケースもあるでしょう。
例えば、ウェブサービスの開発を外部のシステム会社に委託するケースでは、全て任せるのではなく、検収前にセキュリティ上の不具合がないことを自ら確認しなければなりません。そのためには、クロスサイトスクリプティングやSQLインジェクションなどの攻撃手法を理解して、ウェブサービスに穴がないことを確認できるスキルが必要になってきます。



まとめ

ここまでサイバーセキュリティのリスクと対策について見てきましたが、各々のトピックについて深く掘り下げると膨大な量になってしまうため今回は割愛せざるを得ませんでした。また、ここで触れていないトピックもたくさんあります。

しかし、企業にとってサイバーセキュリティの脅威を知り、自社に求められる対策を取ることの重要性は理解していただけたのではないかと思います。
メディアで伝えられるニュースを見ていると、何かが起きてから慌てるケースが多く見受けられます。実際に、意識してセキュリティ対策をとっていなくても、何の被害も受けたことがないということも多くあるのが事実です。しかし、何も起きないことを前提とすることは、何かが起きたときの代償があまりにも高くつくリスクを認識しないことにつながります。
企業の責任として、正しくリスクを認識した上で必要な対策を講じ、事件や事故を未然に防ぐことはもちろんのこと、万一の時にも対処できる基盤を準備しておくことを強くお勧めします。

更新日: