情報セキュリティにおける３つの脅威

皆様、はじめまして。ネットワーク事業部の野口と申します。
今回の記事では情報セキュリティにおける３つの脅威について紹介します。この記事を読んでいただき皆様が少しでも情報セキュリティに関心を持っていただけたら幸いです。

情報セキュリティとは

情報セキュリティとは、情報の「機密性」、「完全性」、「可用性」を維持することをいいます。

機密性とは、情報へのアクセス権限がある人のみアクセスできる状態にすることです。個人情報などの大切な情報に誰でもかれでもアクセスできないように、必要なユーザーのみに制限しなければなりません。

完全性とは、情報が破壊、改ざん又は消去されていない状態を確保することです。保存したデータが勝手にすり替えられていたり、壊されたりしないように維持しなければなりません。

可用性とは、情報を使いたいときに使える状態にあることです。定期的なバックアップだったり、UPSを導入したりして有事の際でもデータにアクセスできるように維持しなければなりません。

また、情報セキュリティを脅かす不正アクセスやウイルス攻撃などを「セキュリティインシデント」と言います。
セキュリティインシデントは「脅威」が「脆弱性」を突くことで発生し、発生すると大切な情報資産（情報システム、経営情報、顧客データなど）が損なわれてしまいます。今回は、具体的にどんなものが情報セキュリティの脅威となるのかに注目して、対策法も交えながらご説明したいと思います。

脅威の種類

情報セキュリティの脅威には大きく分けて以下の３つがあります。

• 技術的脅威・・・ITの知識や技術を使って不正アクセスをしたりウイルスを仕込んだりするもの
• 人的脅威・・・人の行動が起因するもの
• 物理的脅威・・・機器の故障や自然災害など

それではそれぞれの脅威について詳しく見ていきましょう。

技術的脅威に分類される主な脅威と対策

［マルウェア］
　ウイルス、スパイウェア、ランサムウェア等の悪意あるソフトウェアやコードの総称。たとえば「トロイの木馬」などは有名なマルウェアで企業を狙った標的型攻撃などに使用され、大きなニュースになることもある

［ソフトウェアのバグ］
　プログラム上に存在する不具合によってプログラムが正常に動作しなくなる原因となるもの

［不正アクセス］
　本来その権限を持たないものがコンピュータやサーバに対し、不正に侵入する行為
　不正アクセスによって、機密情報を盗まれる、ホームページを改ざんされる、侵入したサーバからさらに別のサーバなどへ攻撃する踏み台として利用されるなどの恐れがある

［なりすまし］

• アカウントを乗っ取り、乗っ取ったアカウントのユーザーになりすまして不適切な行動をとるような行為
• あたかも実在する組織になりすまして電子メールを送りつけ、偽のホームページへ誘導し、入力フォームに口座情報等を入力させるような行為

最近のサイバー攻撃の傾向として特定の組織や個人に対して機密情報を盗むことを狙った「標的型攻撃」や、メールやウェブサイトを通して感染してパソコンをロックし、ロックの解除と引き換えに金銭を要求する「ランサムウェア」などの被害が増加しています。主な対策として以下が挙げられます。

主な基本対策

• OSやソフトウェアのアップデートを定期的に行う
• セキュリティソフト（ESET、ノートン、マカフィ）の導入
• アクセス制限や権限管理によって、ユーザーによって利用できる情報を制限する
• アプリのダウンロード、インストールは信頼できるサイトからのみ行う
• 不審な件名や添付ファイルのあるメールは安易に開かない、同様にメール内のリンクも安易に開かない

人的脅威に分類される主な脅威と対策

人的脅威には、人が意図的に行う脅威と意図せずに行われる脅威の２種類があります。

［人的ミス］
　操作ミスによるデータの消失や流出、メールの誤送信、USBメモリの紛失

［ソーシャルエンジニアリング］
　人の心理的な隙をついて不正を行う行為

• ショルダーハッキング（肩越しから画面を覗き見てログイン情報やパスワードを不正に取得しようとする行為）
• トラッシング（ゴミ箱を漁り、パスワードの書いてある紙を盗み出す行為）
• 会社の関係者になりすまし、電話やメールで個人情報やパスワードを不正取得しようとする行為

［内部不正］
　企業の従業員や関係者によって企業が保管している大切な情報や秘密が外部へと漏れてしまうこと

日本国内でも、退職を控えた社員が企業の秘密情報を不正に入手し、転職先に提供するといった行為や、顧客情報の管理を請け負っていた企業の元社員が大量の個人情報を流出させるような事件が度々起きています。主な対策として以下が挙げられます。

主な基本対策

• 大切な情報やデータが保管されている場所には一人で立ち入りさせない
• 監視カメラを設置する
• システムへのアクセス権限およびログの監視
• 情報漏えいを防止するための機密保持契約の締結
• USBメモリの持ち出しルールの作成
• 2要素認証によるなりすましの防止
• 内部不正の原因となる不正のトライアングル（動機、機会、正当化）を生まない
  　動機　・・・不正をする動機のこと。頑張って働いているのに会社が認めてくれないなどの不満や、厳しいノルマによるプレッシャーなど
  　機会　・・・不正を働ける環境があること。内部統制の未整備、勤務管理の徹底不足など
  　正当化・・・不正を正当化してしまう考え方や言い訳。会社批判、他者への責任転嫁など

物理的脅威に分類される主な脅威と対策

［故障］

• 長年の使用による機器やサーバ、システムの劣化
• 機器の落下や衝撃などによる物理的故障

［盗難・破壊行為］
　何者かによってパソコンやサーバが盗まれたり、壊されたりする

［天災］
　地震、落雷、洪水、火災など

ここ最近の日本は、異常気象による猛暑や突然の豪雨、洪水、台風、地震など突発的な災害が発生し、発生する度に多くの被害をもたらしています。このような突然の災害等も想定してセキュリティ対策を講じる必要があります。バックアップを例にしますと、バックアップを取っていない状況で重要なデータが消失してしまうと最悪の場合に会社の業務が停止して甚大な被害を被る可能性があります。また、同じ拠点内でバックアップを取るだけだと災害の際にメイン・バックアップ両方が被害を受ける可能性もあります。バックアップは二重、三重で取得し、遠隔地やクラウドなどの別拠点に保存することも重要です。

主な基本対策

• 監視カメラ等の防犯用品の活用
• 確実な施錠
• セキュリティワイヤーの活用
• データセンターの利用
• クラウドバックアップの導入

ネディアの取り組み

情報セキュリティにおける脅威はマルウェアなどによるサイバー攻撃だけに限らず、人による操作ミスや機器の故障、災害など様々なものがあります。あらゆる可能性を考えた上で情報セキュリティ対策を講じなければ情報資産を守ることはできません。
また、企業が行う情報セキュリティ対策は企業内のシステム部門やネットワーク部門のみが取り組めば良いものではなく、企業全体で取り組まなければ意味がありません。従業員一人一人のセキュリティ意識を高められるように、定期的な研修を実施するなどの対策も必要です。セキュリティインシデントが発生してしまうと、業務が停止してしまい売上に大きな影響を及ぼすほか、最悪の場合、損害賠償、社会的信用の失墜など多くの不利益を被る可能性があります。
弊社では、ISO27001（ISMS）を取得しており、会社全体でのセキュリティ対策の向上に努めております。また、上記の脅威からお客様の大切な情報資産を守るため、群馬県の特徴である「低災害率」を活かしたデータセンターの運用、ウイルス対策ソフトやUTM、サーバ監視機能の導入などのサポートにも努めております。企業のセキュリティに不安を感じたら、ぜひ一度、弊社へご相談ください。