Webサイトの改ざんや標的型攻撃メールなど、巧妙な手口で企業を狙うサイバー攻撃は近年多発している。こうしたサイバー攻撃の恐ろしい点は何といっても、企業の保有している個人情報や機密情報の漏えいだ。狙われた企業の管理体制の脆弱性や情報セキュリティ対策が大きなニュースとして取り上げられることが増えてきたが、大企業や有名企業のニュースに目が行き、実は劇的に増えている中小企業への標的型攻撃被害を見落としていないだろうか。そんな“対岸の火事”よろしく、のんびり構えている情シスがここにもひとり─────

──── 数時間前 ────

──── 数分後 ────

私たちが生きていく上で必須とされる生活インフラに「電気・ガス・水道」がありますよね。現代社会において、インターネットは3大生活インフラに次ぐ必須アイテムです。

インターネットによって、離れた地域にいる人と顔を見て話をする事ができたり、自宅に居ながら買い物や仕事が出来るようになったり、自らが情報発信者となれる等、それまでは想像もつかなかった事が当たり前のように出来る世の中になっています。

しかし、膨大な重要データ（情報）が行き交うインターネットの世界は悪意あるユーザから見れば宝箱です。私たちは無頓着にインターネットの利便性だけを見ていてはいけませんし、企業は自社の信頼性や事業継続性を維持するべく、あらゆる要因から自社が持っている重要情報を堅牢に保護しなければなりません。

また、自社の信頼性や事業継続性を脅かすあらゆる要因とは、悪意あるユーザからのサイバー攻撃だけではなく、火災や地震などの自然災害、また従業員の業務上過失に至るまでの全てを指します。これが情報セキュリティです。

情報セキュリティにおける脅威は3つに大きく分類されています。それは、技術的脅威（サイバー攻撃）と物理的脅威（自然災害や故障）、そして人的脅威（会社関係者による業務上過失）です。以下にそれぞれについて詳しく説明したいと思います。

悪意のあるユーザによってITの知識・技術を使いネットワーク領域で行われた攻撃事由のものを技術的脅威と称します。

具体的に言うと、マルウェア、フィッシング詐欺、標的型メール、クロスサイトスクリプティング、バッファオーバーフロー攻撃、DoS攻撃、ポートスキャン、ゼロデイ攻撃、総当たり攻撃などのサイバー攻撃のことです。

情報セキュリティについて考えると、最初に想起されるのはサイバーセキュリティ（サイバー攻撃への対策）だと思いますので容易に想像がつきますね。

これらへの対策は、適切なパッチ管理やアクセス先やアクセス権限の制御、EPP等の外部サービスの導入、従業員へのセキュリティ教育が有効となります。

物理的脅威は、文字通り、サーバーやパソコン、その他ネットワーク機器など物理的なものに対する脅威を指します。原因になり得るのは地震、雷、火災、水害などの自然災害や、経年劣化による故障も含まれます。

これらを未然に防ぐというのは難しいかもしれませんが、あらかじめ自然災害が少ない土地にオフィスを構えたり、データセンター等の頑丈な建物にサーバを置くことが対策になります。また万が一の事があった場合も、普段からバックアップをとったり冗長化をしておくことで事業継続性は保たれます。

直接人間が介在するものを人的脅威といいます。

その中には、メール誤送信等の操作ミスや、従業員や出入りの業者が事故的にハードウェアを紛失、破損させてしまったというような事故的な形で発生する偶発的脅威と、ソーシャルエンジニアリングや盗難、内部不正や外部ユーザからの不正アクセスやなりすましという意図的脅威に大別されます。不正アクセスやなりすましが技術的脅威から派生したものでもあるように、二つの脅威にまたがるものもあります。

この3大脅威は、いずれかひとつに分類されるというものではなく、全ての脅威がいずれかには当てはまるという意味合いで使われています。人的脅威への対策は、DLPや誤送信防止等の外部サービスの導入、従業員へのセキュリティ教育や、物理的な防犯対策も予防線となるでしょう。

^{※ソーシャルエンジニアリングとは...ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法（電車で社用PCを開いている人の隣りに座って盗み見する等）}

^{※DLPとは...機密情報や重要データの紛失、外部への漏えいを防ぐシステムやツール}

IPA（独立行政法人情報処理推進機）は2006年以降毎年情報セキュリティにおける10大脅威をランキング形式で公表しています。ご覧の通り、人的×技術的脅威が上位であることが分かります。ひとつのセキュリティインシデントが企業の存続を揺るがす程の損害に繋がることも珍しくありません。

^{※セキュリティインシデントとは...企業や組織における情報資産に対しての事件や事故のこと}

スクロールできます

引用：IPA（独立行政法人情報処理推進機）情報セキュリティ10大脅威 2024より

日本ネットワークセキュリティ協会の情報セキュリティインシデントに関する調査報告書2019によると2018年の情報漏えい人数は約561万人、インシデント件数は443件、想定被害賠償額総額は2,684億円（インシデント1件あたりの平均被害総額は6億円）にもなると言われています。

引用：日本ネットワークセキュリティ協会 2018年 情報セキュリティインシデントに関する調査報告書より

IPAの発表にもあった通り、人的×技術的脅威への警戒が必要不可欠となっています。近年のクラウドサービスの浸透に比例するようにサイバー攻撃もこれまで以上に活発化しているのです。

闇市場ではサイバー攻撃ですらクラウドサービス化（RaaSなど）していますので、サイバー攻撃をしかけるスキルやノウハウがなくても攻撃者になることができます。また、直接的な攻撃は有名企業や大企業からセキュリティ意識の甘い中小企業に標的を変え、中小企業を踏み台に大企業に派生させるサプライチェーン攻撃という流行も出ています。

IT化により経営効率が向上する一方で、セキュリティの弱点を狙った攻撃が増えているため、企業のIT責任者はより一層強固なセキュリティ対策を打つ必要があるでしょう。

ISMS規格には根幹に情報セキュリティの3大要素である「機密性」「完全性」「可用性」があります。この3大要素を維持していくことが情報セキュリティ対策の基盤になります。

機密性とは情報が漏えいしないことです。機密性を維持するには、権利を持った人（もしくは組織、設備、ソフト、物理媒体）だけが情報にアクセスしたり利用できる状態にしておく必要があります。アクセス権の管理やパスワード利用をすることで機密性を保つことにより、情報漏洩を防ぐことができます。

完全性とは情報を保存した時点のまま維持されることです。完全性を確保するには、情報が破損したり改ざんされたりせず、完全である状態にしておく必要があります。完全性を維持することで意図されない情報の変更を防ぐことができます。

可用性とは情報を利用したい時に正しく利用できることです。可用性を維持するには、いかなる状況でもクライアントが情報を必要とする時に取り出したり使ったりできる状態にしておく必要があります。自然災害時の対策やバックアップが、可用性を維持するために必要です。

厚生労働省によると、リスクアセスメントとは職場にある様々な危険の芽（リスク）を見つけ出し、それにより起こることが予測される労働災害の重大さからリスクの大きさを見積もり、大きいものから順に対策を講じていく手法のことと定義しています。つまり、いざ起こったら被害が大きいであろうものを予め洗い出し、起こってからの事後対応ではなく、起こる前から対策を講じようという事ですね。

このプロセスを踏むことで、リスクが回避できたり、また不可避であったとしても被害を低減、迅速な復旧を行うことができます。

前述した脅威に対して、適切にリスクアセスメントを実施して企業における総合的な情報セキュリティを確保するために必要なのが情報セキュリティマネジメントシステム（ISMS: Information Security Management System）です。ISMSは、組織における情報資産のセキュリティを管理するための枠組みを指し、情報セキュリティマネジメントとは、策定したISMSを実施することを指します。ISMSの構築・運用は第三者機関により評価される事でそれが適正かどうか判断してもらうことができます。

日本では、一般財団法人日本情報経済社会推進協会（JIPDEC）が、企業の情報セキュリティマネジメントシステムを審査し、国際標準（ISO/IEC27001）と同等の「ISMS認証基準」に準拠していれば「ISMS認証」が与えられます。ISMS認証（ISO/IEC27001）は、個人情報保護法の要件や、国内で広く普及しているプライバシーマークの対象範囲もほぼ網羅しているので、国際標準への対応、説明責任能力や組織力のアピールなどの対外的なメリットが見込めるほか、セキュリティリスクの低減や従業員の目的意識の向上など、組織力の強化にも役立ちます。

情報セキュリティについて主体的に向き合おうと思っても、果たして何から着手すべきか...と悩める経営者またはIT責任者の方へ、IPA（独立行政法人情報処理推進機）は情報セキュリティ5か条を提言しています。もちろん、個人のセキュリティ対策にも当てはまりますので是非参考にしてください。

情報を扱う全ての企業に情報セキュリティ対策が必要なのは言うまでもありません。更に近年の働き方の変化によって企業のネットワーク構成は複雑化し、サイバー攻撃は巧妙化しています。最近はネットワークエンジニアとしての情報システム担当とは別に、セキュリティに特化した専門性の高い組織（CSIRT）を社内に設置する企業も増えています。

情報セキュリティ対策は片手間で行えるものではなく、相応のスキルやノウハウが必要になるにも関わらず、現在国内では情報セキュリティ人材が不足しているという喫緊の課題があります。情報セキュリティ人材の採用や育成が難しく適切な対策を講じる事が出来ない企業は外部のサービスを導入することによって足りない穴を埋めていくべきでしょう。

^{※CSIRTとは...Computer Security Incident Response Teamの略。コンピューターセキュリティに関する事故対応チームのこと}

光ファイバーテイルを振りかざし、情シスマンがネットワーク空間に入っていくと見覚えのあるシルエットが浮かび上がってきた。

これまで、セキュリティ対策の基本は社内ネットワークは安全、社外ネットワーク（インターネット）は危険という概念の下、重要なのは「外からの侵入」を防ぐことだとされてきました。しかし、働き方の変化やサイバー攻撃の巧妙化によって、この対策法だけでは安全性が担保できなくなっています。これらに対応する為、注目を集めているのが「多層防御」や「ゼロトラストセキュリティ」です。

ゼロトラストセキュリティとは、クラウドネイティブな働き方をする上で必須となる「社内外の全てにおいて安全性を信頼せずに、全ての通信を検証する」という概念が基盤になっています。これをベースに多層防御（入口対策・出口対策・内部対策）を検討することで、セキュリティをより強固なものにできます。

入口対策は「内部ネットワークへの侵入を防止する」ことが主な目的です。具体的には、ファイアウォールやスパムフィルタなどを設定し、危険な通信のブロックやウイルスの検知・駆除などを行います。

内部対策は、不正侵入してしまったマルウェアなどから「機密情報を守る」対策です。入口対策を行っていても、日々巧妙化するマルウェア、新種のウイルスを防ぎ切ることは困難です。不正侵入や感染をいち早く検出し、隔離を行なうなど、そこからの感染拡大を防ぐ事を目的としたEDRなどの導入もその1つです。また、不正な通信が行われた際に、その行動を追跡できるようにするログ管理等も必要です。さらに、内部対策として浸透しつつあるのがDLP（Data Loss Prevention）です。重要情報が格納されるフォルダやユーザのアクセス権限視点で制御するのではなく、ファイルそのものの中身を見て情報漏洩対策を講じる事が出来ます。

出口対策は、入り込んだマルウェアによる「外部通信を防ぐ」対策のことをいいます。侵入したマルウェアが情報を持ち出したり、C&Cサーバと通信をするなど、不審な通信を行った場合に検知・遮断することが主な目的です。近年はサプライチェーン攻撃のように、自社が踏み台となり取引先に被害を及ぼしてしまうケースも多発していますので、「外に出さない」というのも大切な対策のひとつです。

情報セキュリティ対策はどこから手を付けていいのか、また、どこまでやればいいのか判断が難しいものです。特に中小企業では担当者を任命したものの、他業務と兼任していて手が回らなかったり、セキュリティ対策費用の確保が難しい事もあるかもしれません。紹介した情報セキュリティ対策5つのポイントは、個人も徹底していきましょう。

また、近年ではテレワークへの対応を優先してそれに伴ったセキュリティ対策の見直しが出来ていない企業もままあります。急なネットワーク変更でマンパワーが追いつかない、ISMSやPマーク取得などとにかく情報セキュリティ対策の構築が急務といった場合は、USEN GATE 02 が提供するセキュリティソリューションの導入も選択肢の１つに入れてみてください。