多忙な日常業務を送る情シスの皆さん。範囲が広く、そして技術の底も深いセキュリティについて「実は把握できていない」「表面だけかじって知った気になっていた」という本音も聞こえてきます。
ある程度ご存じの方にはおさらいの意味を込めて、またこれから情シスを目指す方には基礎知識として、「セキュリティ脅威」に関する内容をシリーズでお届けします。

 

情シスなら知っておきたいセキュリティの基礎知識

リモートワークだ、アプリ更新だ、なんだと日々の業務に追われ忙しく働いている情シスにとって、「情報セキュリティ」とは、重要だとわかりつつも今以上の改善やさらなる知識の獲得に時間を割きにくい分野でもあります。
（情シスからCISOへのキャリアアップの道もあり、且つ、セキュリティ人材は決して多いともいえない状況にあるので、是非チャレンジしていただきたいとは思いますが。）

特に、情シス初心者にとっては、「情報セキュリティ」と一口に言っても範囲が広すぎて、何をどうしていいかわからないという方もいるかもしれません。
何をどうしていいかわからない、というときはきっと、そもそも全体の把握ができていなかったり、基礎的なことを知らなかったりする場合ではないでしょうか。

今回は、情報セキュリティについて、全体像から基礎の基礎を学んでいきましょう。

 

まずは用語を知ろう！

情報セキュリティ問題に良く出てくる単語の意味を整理しておきましょう。

情報セキュリティとは

情報セキュリティとは、総務省のWebサイト上で以下のように定義されています。
“企業や組織における情報セキュリティとは、企業や組織の情報資産を「機密性」、「完全性」、「可用性」に関する脅威から保護することです。”（総務省　国民のための情報セキュリティサイト）

• 機密性とは、データにアクセスできる権限を管理してある状態のことを指します。誰でもデータに勝手にアクセスしたり盗み見できたりできないようにしておかなければなりません。
• 完全性とは、データが正しい状態を保っているということです。誰かに許可なく書き換えられたり、消されてしまったりしないように保護する必要があります。
• 可用性とは、正しいアクセスに対してデータが常に読み書きできる状態であることです。サーバーが落ちてしまうなど、データにアクセスできない状態になることは可用性が担保されているとは言えません。

脅威

脅威とは一般的にも使われる単語ですが、情報セキュリティにおいては特に「サイバー攻撃」の意味でよく使われます。

とはいえ、脅威というのは厳密には「情報セキュリティを脅かすもの」全体を指しています。

サイバー攻撃以外にも、停電やサーバーに障害を引き起こしかねない大地震や台風などの天災、データ紛失をしてしまうような人的ミス、適切に運用されていない劣化したシステムなども含んでいますので忘れないようにしましょう。

マルウェア

マルウェアとは、サイバー攻撃の手段のひとつで、他者を攻撃するまたは本人の意図に反して端末を利用する悪意のあるプログラムのことです。
悪意のあるプログラムと分かっていて自分の端末にダウンロードする人は普通いませんから、何か有用なアプリや必要なデータであるように見せかけて存在しています。

内容としては、端末の中から情報を盗み出したり、端末を動作しない状態にしてしまったり、勝手に端末の性能を使ってしまうなどの動きをします。情報収集する「スパイウェア」や端末をロックして代金を要求する「ランサムウェア」などがその代表的な存在です。

インシデント

インシデントとは、ここでは特にセキュリティインシデントを指します。
セキュリティインシデントとは、情報セキュリティが脅かされている状態となっている事象のことを言います。
例えば、サイバー攻撃を受けた・お客様の個人情報を外部に送信しそうになるヒヤリハットがあった、なりすましの不正サイトにアクセスしてしまったなど、何らかの危険な（兆候を含む）事象が起きたらインシデントとして管理します。

 

情報セキュリティを守るって、つまり何を守るの？

では、情報セキュリティ対策として具体的に「何」を守ればよいのでしょうか？

情報セキュリティの定義として、守るべきなのは「情報資産」でした。情報資産とは企業の機密情報、経営に関する情報、個人情報などのさまざまな情報のことで、データそのものです。データが格納されているサーバーや端末などの機器、紙類も情報資産です。

これでもまだざっくりしていますから、少し分類してみましょう。

データそのもの

まずは、大事なデータそのものを守らないといけません。
例えば、経営管理システムに格納されている経理情報に、データベース上に置いてある販売情報やシステム情報、お客様・取引先・従業員の個人情報に独自開発商品の設計図など、企業で取り扱う情報はたいてい重要なものです。
データそのものがマルウェアによって不正に搾取されてしまったり、破壊されてしまうと困ります。

紙の書類であれば鍵付きの書庫に入れておくことで管理できますが、電子データは物理的な鍵では守れません。いくらサーバールームに鍵をかけても、ケーブル（場合により無線通信でも）を通して忍び寄る不正アクセスからも守らなければならないのです。

サーバー、社内ネットワーク

その大事な電子データを守るには、データを格納するサーバーを守らないといけません。
サーバールームに鍵をかけたり、クラウド上であればアクセス権限を適切に設定するなどしてサーバーに不正アクセスができないようにします。

また、不正アクセスを見逃さないため、そして正しいアクセスがいつでも行えるようにするため、サーバーにつながる社内ネットワーク全体も攻撃から守る必要があります。境界型防御やゼロトラストセキュリティなどがそれにあたります。

パソコン端末やスマートフォン

守らないとならないのは、サーバーやネットワークなどの企業システム側で管理しているものだけではありません。
そこにアクセスするはずの従業員のパソコン端末やスマートフォンも、その対象なのです。

デバイス認証を行っていれば、は、その役職・業務に応じて重要なデータにもアクセスできる権限があります。端末にパスワードなしでログインができる状態だったり、また、ブラウザにログインパスワードを覚えさせたりしていませんか？　もし端末を第三者に不正利用されたり、悪意のある者に乗っ取られてしまえば、正しいアクセスとして堂々と攻撃をしてくる可能性があります。
端末に入っている業務データや連絡先情報なども重要な情報資産です。
特に連絡先情報が漏れてしまえばそこからお客様や取引先の企業へ、フィッシングメール等による更なる攻撃につながるなど、より大きなインシデントにつながりかねないリスクがあります。

 

じゃあ、どうやって守ればいいの？

これまで見てきたように情報セキュリティ対策では守る物が多いため、どれもこれもをひとつの盾で守るのは困難なのが現状です。また、防御の仕方にも様々な方法が存在し、自社の業務環境に最も適したものを選ばなければ意味がありません。
そこで、まず考えるべきなのが、IPAやトレンドマイクロ等のセキュリティの専門家たちが提唱するのが「多層防御」になります。

多層防御とは、さまざまなセキュリティ対策を組み合わせて階層を作り、1つの対策が破られても次の対策、その次の対策で攻撃を防ぐことができるようにする防御策のことです。

スイスチーズモデルという穴の開いたチーズの絵で表現されているのをご覧になったことがないでしょうか？
スイスチーズには穴の特徴が違う多数の穴が空いていますが、何枚も重ねると貫通する可能性は低くなのと同様にチーズの穴を脆弱性やミス、エラー、カバー範囲外などに見立て、視点の異なる防御策を重ねることで、1つでは防げなかった攻撃から重要なデータを守るという考え方になります。

画像出典：ベル・データ

ある程度は防壁が破られてしまうことは折り込み済みで、それでも最終的に大事な情報を守るためには、早い段階での侵入検知や攻撃の予兆検知を行う必要もあります。

多層防御では、たくさんある保護対象に対してそれぞれ適切に対策を施していくことが基本となります。

 

では、実際のシステムに対してどのような防護策があるのでしょうか？
次回、詳しく見ていくことにしましょう。

 

【執筆：編集Gp　星野 美緒】