【目次】- サイバーセキュリティとは? 初心者にもわかりやすく解説
- なぜサイバーセキュリティの対策が必要なの?
- サイバーセキュリティに関する疑問あれこれ
a) サイバーセキュリティの対策って何をすればいいの?
b) サイバーセキュリティと情報セキュリティは違うの?
c) サイバーセキュリティ基本法とは?どんな内容? - まとめ
- 1. サイバーセキュリティとは? 初心者にもわかりやすく解説
サイバーセキュリティとは、サイバー領域における不正アクセス、および不正アクセスにより発生した電子情報の窃取や流出・改ざんなど、いわゆる「サイバー攻撃」と呼ばれるものを防止することを指します。サイバー攻撃には例えば以下のようなものがあります。ニュースなどで耳にしたこともあるかもしれません。
・ウイルスやスパイウェアによる情報の窃取や改ざん
・フィッシングサイトにアクセスさせて個人情報を入力させ、情報を窃取する
・サーバの不正アクセスによる情報の窃取や流出
・ネットワークに過剰な負荷がかかる不正な情報を送信し続けることによりWebサイトをダウンさせる例えば、個人情報や企業の機密情報は闇市場において高値で取引されていますし、クレジットカード情報などのお金に関する情報は狙われやすい個人情報のひとつです。
情報資産は企業にとって今や非常に価値の高いものであり、それを保護するためにもサイバーセキュリティは必要不可欠な要素なのです。
- 2. なぜサイバーセキュリティの対策が必要なの?
ひとたびサイバー攻撃に遭ってしまうと、その被害は甚大です。個人情報や顧客情報が流出すれば損害賠償の金額は億単位になる場合がありますし、システム停止により業務が続行不能な状態に陥れば企業活動そのものが危ぶまれます。
さらに、サイバー攻撃の被害を受けた企業や団体の信用失墜は免れません。
これらの損害を未然に防止するために必要なのが、サイバーセキュリティなのです。
当然、サイバーセキュリティの対策にはそれなりの費用がかかります。しかし、サイバー攻撃を受け金銭的にも社会的にも大きな損害を受ける可能性を考えれば、対策にかかる費用は安いものです。
海外の有名企業では、システムのバグを見つけた外部のホワイトハッカー(「善意で」活動するハッカー)に対して高額の謝礼金を支払う例もあります。
それだけ、企業にとってサイバー攻撃は身近なものであり、何としてでも防ぎたいものなのです。
- 3. サイバーセキュリティに関する疑問あれこれ
サイバーセキュリティについてここまで簡単に説明してきましたが、さらに踏み込んでよくある疑問にもお答えします。- a) サイバーセキュリティの対策って何をすればいいの?
サイバーセキュリティは、大手企業や官公庁だけでなく、中小企業やSOHO、個人レベルでも対策が必要です。しかし、サイバーセキュリティの対策をせよと言っても、まず何からすればいいかわからない…という方も多いのではないでしょうか。
- 【Step1】ウイルス対策や脆弱性対策、ゲートウェイ対策などシステムを整備する
企業であれば、まずはサイバーセキュリティ対策の現状を把握し、不足するシステムを導入します。「すでにウイルス対策ソフトが入っているから大丈夫」などと考えずに、本当に今の対策で大丈夫なのかを複数の担当者で議論することが重要です。
例えば、以下のようなセキュリティの不安要素においても対策が必要です。
・OSやソフトウェアのセキュリティパッチが適用されていないか、サポート切れになっている
・未知のウイルスやスパイウェアが侵入する
・標的型攻撃のターゲットになるサイバーセキュリティの知見について不安がある場合は、外部の専門家に調査・相談を依頼するのもいいでしょう。
- 【Step2】PDCAサイクルで対策を定期的に見直す
システムを導入しただけで対策は終わりだと思ってはいけません。セキュリティ担当者はPDCA(Plan, Do, Check, Action)サイクルでセキュリティ対策を長期的に考える視点を持つことも重要です。
サイバーセキュリティにおいては、導入したシステムでサイバー攻撃は検知できているか、検知した攻撃は防御できているかを定期的に確認し、不足している点があれば別途対策を施し、再度検知状況を確認し…と繰り返し対策状況を確認します。
そのためにも、システムの運用知識は必要不可欠です。
また、ウイルスやサイバー攻撃を検知した場合は、経緯と対策の履歴を残し、今後に生かすことも重要です。
日々複雑化するサイバー攻撃に対抗するためには、サイバーセキュリティ対策も進化していく必要があるのです。
- 【Step3】万が一サイバー攻撃に遭った場合に備え、善後策をあらかじめ考えておく
それでも、対策の見落としがあったり、未知のサイバー攻撃を受けたりなどで被害が発生する場合もあります。そのような場合に備え、インシデントが発生した場合の対応策を規定しておくことも重要です。
いわば、サイバー領域における避難訓練のようなものです。
攻撃に遭った場合は、被害の規模によりレベルを設定し、そのレベルに応じてどのように行動するかを規定しておくと対応がスムーズになります。
たとえば、情報流出などにより顧客に損害が生じた場合の対応策に加え、被害を受けたサーバやコンピュータなどのIT資産をどのように復旧するかや、復旧にかかる時間や手順なども併せて盛り込んでおくといいでしょう。
- 【Step1】ウイルス対策や脆弱性対策、ゲートウェイ対策などシステムを整備する
- b) サイバーセキュリティと情報セキュリティは違うの?
サイバーセキュリティとよく混同されがちなワードとして、「情報セキュリティ」があります。これらの定義として多く言われるのが、「サイバーセキュリティは情報セキュリティの包含関係にある」という言葉です。
サイバーセキュリティは、あくまでサイバー空間における電子情報の保護を目的としたものであり、サイバーセキュリティの対策は、サイバー空間に限定されていると定義される場合が多いです。
例えば、上に挙げたマルウェアや不正アクセス対策、さらにはデジタルフォレンジックなど、システム上で行われる対策に限定されます。
対して、情報セキュリティは、広い意味での情報保護のために物理的なセキュリティ対策を行うことも含まれます。
例えば、機密情報のある部屋やサーバールームを施錠して特定の社員しか入れないようにする、災害に備えてレプリケーションサーバーを導入するなどです。
情報セキュリティの方は、社員の啓発や組織内での担当の明確化、ルールやマニュアルの整備など、情報セキュリティを長期的に対策するための体制構築も必要な要素となります。
- c) サイバーセキュリティ基本法とは?どんな内容?
2014年にサイバーセキュリティに関して制定されたのがサイバーセキュリティ基本法です。大企業などがサイバー攻撃を受けたことによる重大な情報漏洩事件が相次ぎ、国家としてサイバーセキュリティに取り組むことを法制化したものです。
サイバーセキュリティ基本法の目的は、以下の3つとされています。
・経済社会の活力の向上及び持続的発展
・国民が安全で安心して暮らせる社会の実現
・国際社会の平和及び安全の確保並びに我が国の安全保障に寄与することまた、組織的な体制も強化され、内閣官房長官を本部長とする「サイバーセキュリティ戦略本部」に加え、「内閣サイバーセキュリティセンター(NISC)」の設置を制定しました。
ちなみに、サイバーセキュリティ基本法は社会情勢に合わせて複数回法改正が行われています。日々内容が多様化・複雑化するサイバー攻撃に対応するためには、法の内容も逐一見直していく必要があるでしょう。
- a) サイバーセキュリティの対策って何をすればいいの?
- 4. まとめ
サイバーセキュリティは、企業のみならず個人においても今後ますます重要になっていきます。デジタル化が加速する現在において、キャッシュレスやネット通販、個人認証サービスなどの電子情報のやり取りによる被害のリスクは大きくなるばかりだからです。
特に企業においては、以下のような手順でサイバーセキュリティの対策を練っておくことが急務と言えるでしょう。
・ウイルス対策や脆弱性対策、ゲートウェイ対策などのシステム整備
・PDCAサイクルで対策を定期的に見直す
・サイバー攻撃に遭った場合に備え、善後策をあらかじめ考えておく
※下記のブログもご覧ください。
クラウドセキュリティの基本
