サイバーセキュリティとは、不正アクセスや業務の中断からのコンピューターシステムとデータの防御に関わるポリシー、ツール、およびロールを指します。
歴史を遡ってみると、いつの時代も経済は特定のものを中心に回っています。 塩やスパイス、絹や銀がそれぞれの時代の経済を左右していました。 現在、世界は国際的な為替制度に基いて動いています。 しかしドルや円の裏で、今やあるものが世界の価値の捉え方を変えつつあります。 それはデータです。
デジタル時代にデータの金銭的価値を甘く見てはいけません。 適切に利用すれば、データによって企業は顧客の理解を深め、パーソナライズされた購入者エクスペリエンスを創出できます。 データ分析によって、組織と個人は今後のトレンドを予測したり、マーケティング戦略を最適化したり、顧客のニーズに対応するための新しい製品やサービスをタイムリーに発表して競合他社より優位に立ったりすることができます。
ただしこの価値にはマイナス面もあります。 サイバー犯罪者はデジタルシステムの脆弱性を利用して、悪意ある目的のために機密データにアクセスしようとします。そしてすべての組織と個人が標的になりうるのです。 効果的なサイバーセキュリティ対策によるデータ保護が不可欠な理由はここにあります。
サイバー脅威は高度化する一方です。 私たちの社会がデジタルテクノロジーへの依存度を高めるほど、重要データの喪失または機能停止に伴う潜在的リスクも拡大します。
個人レベルでは、サイバー攻撃が成功すると個人情報の盗難から恐喝まで壊滅的な結果に陥る可能性があります。 ビジネスも同様に極めて脆弱性が高く、会社と顧客の貴重なデータの侵害、そして事業運営の停止を目的とした攻撃という二つの面で狙われています。 さらにそれだけでは足らないとばかりに、世界の依存度が非常に高い組織(たとえば発電所、医療機関、金融サービス会社など)の多くが頼りにしている重要なデジタルインフラストラクチャさえも、サイバー攻撃の脅威に絶えず曝されているのです。
効果的に活用すれば、サイバーセキュリティは個人と組織をデータとシステムへの不正なアクセスから守る力があります。不正アクセスは個人情報の侵害、知的財産の喪失、基幹サービスの停止などにつながる恐れがあります。 顧客データを保管する企業は、さらにそのデータをあらゆる種類の脅威の侵入手口から保護する責任を負い、データ保護法はその保護を怠った組織に責任を負わせることを保証しています。 そのため、サイバーセキュリティは誰にとっても優先事項であるべきなのです。
サイバー脅威は進化と同時に多様化も進んでいます。 現在、デジタルシステムとユーザーを狙う脅威は数千種にのぼります。 マルウェア、ランサムウェア、ブルートフォース (総当たり) 攻撃、SQL インジェクション、高度標的型攻撃 (APT)、ゼロデイ攻撃、各種ソーシャルエンジニアリング攻撃など、攻撃者はそれぞれ特有の脆弱性を悪用して、アクセスする突破口を切り開こうと狙っています。 このように多種多様な危険に対応するため、サイバーセキュリティも多角化が必要です。
今日のサイバーセキュリティソリューションは以下のように多様な形式を取ります。
事業継続性計画 (BCP) は、サイバー攻撃のように混乱が生じる事象の発生中または発生後に組織が重要なビジネス機能を維持できるように、包括的戦略を策定するプロセスです。 サイバーセキュリティを BCP に組み込むことによって、組織は潜在的なサイバーリスクを特定し、そのリスクを緩和して事業継続性を確保するための計画を策定することができます。 このために講じる措置として、データバックアップ、災害復旧計画、インシデント応答戦略、さらに継続的な従業員のトレーニングと意識向上などがあります。いずれも、組織がサイバー攻撃に対応して復旧できるよう備えるためのものです。
ほとんどのクラウド環境はオンプレミスシステムより安全性は高くなっていますが、それでもクラウドセキュリティは必要です。 クラウドのサイバーセキュリティには、保存中、転送中、そして使用中のクラウドデータの暗号化も含まれます。 組織は、暗号化、アクセスコントロール、データバックアップ、さらに復旧対策の組み合わせを使ってクラウドセキュリティを強化し、クラウドベースのデータとサービスを保護します。
社会の運営維持に不可欠なサービスのための基幹インフラストラクチャのセキュリティでは、発電所、上下水処理場、交通機関などに対するリスクの特定と緩和を重視します。 これらの分野におけるサイバーセキュリティ侵害は甚大な影響を及ぼすおそれがあるため、米国国立標準技術研究所 (The National Institute of Standards and Technology、NIST) および米国国土安全保障省 (The U.S. Department of Homeland Security、DHS) は、該当組織にセキュリティ態勢強化のためのフレームワークやその他のリソースを提供しています。
多くの場合、教育は潜在的なデータ侵害に対する最善の防衛策です。 エンドユーザーの教育では、ユーザーにサイバー脅威を識別して組織のデジタルシステムを危機にさらすような行為を避けるよう教えることを優先します。 たとえば、ユーザーのトレーニングでは、疑わしいメールの添付ファイルを削除する、会社のネットワークで未知または未承認のデバイスを使用しない、承認済みデバイスをパスワードで保護する際にベストプラクティスを使用する、といったことを説明します。 エンドユーザー教育は、組織内にサイバーセキュリティという文化を培うには欠かせません。
セキュリティのなかでもきわめて広範囲に及ぶ「情報セキュリティ」は、実はサイバーセキュリティまでを含む総称であるだけでなく、非デジタル情報にまで対象が拡大されています。 これには、個人データ、金融データ、知的財産、その他機密情報が含まれる場合があります。 データコントローラーがすべての形態の機密データ保護における自らの職責を理解して遵守するように、EU では一般データ保護規則 (General Data Protection Regulation、GDPR) が EU のプライバシーおよび人権法の重要部分として策定されました。
ネットワークセキュリティは、コンピューターネットワークとネットワークインフラストラクチャをあらゆる形式の不正アクセスから防御することを重視します。 ネットワークセキュリティソリューションはネットワーク内のトラフィックを常時監視し、侵入が起こり得る兆しを迅速に特定し、セキュリティチームが潜在的脅威にリアルタイムで応答できるようにします。 ネットワークセキュリティ対策には、承認済みユーザーだけがネットワークにアクセスできるようにするための侵入検知システム、ファイアウォール、ウイルス対策ソフトウェア、さらにセキュリティポリシーと手順を含みます。
今日のアプリケーションはネットワークに接続されて一元管理されているため、1 つのアプリが侵害されると、攻撃者に複数のネットワークに及ぶデータとシステムへの直接アクセスを許すことになります。 アプリケーションセキュリティは設計段階でソフトウェアに組み込まれている必要があり、コードレビュー、ペネトレーションテスト、強力な暗号化によって構成することができます。
残念ながら、最先端のサイバーセキュリティ態勢であっても攻撃者によって実力が試される事例が後を絶ちません。 こうした犯罪者は経歴も動機もさまざまで、データを盗んで売ることを目的とした平凡な犯罪者、違法データアクセスを通して社会的または政治的変化を起こそうとするハッカー活動家、さらには国家の利害追求をもくろむ敵対国家まで含まれます。 こうした攻撃者がそれぞれ複数のサイバー攻撃のバリエーションを展開している可能性もあります。 とはいえ、広く知られたサイバー脅威は以下のいずれかひとつまたは複数のカテゴリに分類されます。
最も一般的なサイバー脅威カテゴリの 1 つがソーシャルエンジニアリングです。 このアプローチは基本的にデジタル版の詐欺であり、権限のある人物を操って機密情報を漏えいさせたり、攻撃者の利益になるような行為を行わせたりするものです。 戦術にはフィッシング、プリテキスティング、ベイティングがあります。
マルウェアもサイバー脅威の広範なカテゴリで、コンピューターウイルス、キーロガー、スパイウェア、ワーム、ランサムウェアなどあらゆる種類の悪意あるソフトウェアが含まれます。 マルウェアを利用する攻撃者の目的は、多くの場合フィッシングメールや悪意あるリンクを通じて、ソフトウェアをターゲットのデジタルシステムにインストールしてアクティブ化することです。 こうしたプログラムが展開されると、機密情報を盗み出したり、システムをハイジャックしたり、データと引き換えに身代金を要求したりします。
ほとんどのソフトウェアはユーザーの手元に届くまでに膨大なテストと QC 作業を経ていますが、それでも多くのアプリケーションは未知の脆弱性を抱えて出荷されています。 こうした「ゼロデイ」の脆弱性が攻撃者に発見されて利用され、システムやデータへの不正アクセスにつながる可能性があります。
ソーシャルエンジニアリングのなかでも広く利用される「フィッシング」は、組織内の個人を騙して資格情報を開示させたりシステムにマルウェアをインストールさせたりします。 ウイルス対策ソフトウェアが進化して脅威やマルウェアにさらに効果的に対応できるようになるにつれ、フィッシングがデジタルセキュリティにとって大きな脅威になってきています。
マルウェアのサブセットであるランサムウェアは、組織のファイルやシステムを暗号化して、権限あるユーザーがアクセスできないようにします。 攻撃者はそこで組織と連絡を取り、暗号解除キーと引き換えに金銭支払いを要求します。 この身代金の支払いを拒否すると、攻撃者はデータを削除したり会社の機密情報をオンラインに流出させたりする恐れがあります。
分散サービス拒否 (DDoS) 攻撃は、組織の中央サーバーに大量のデータ要求を同時に送信します。 サーバーが処理できるトラフィック量には限度があるため、この要求によってサーバーは低速から停滞状態になり、パフォーマンスが低下し、クラッシュする場合もあります。 こうした攻撃の背景にある動機は、組織のシステムを人質に取る、運用停止に陥らせる、または他の攻撃の準備のための目くらましである場合さえあります。
時には攻撃の質ではなく量が問題になることもあります。 ブルートフォース (総当たり) 攻撃では、自動化ソフトウェアを利用してパスワードを繰り返し推測して、試行錯誤のすえに攻撃者が機密データやシステムにアクセスできるようになります。
オンラインフォームや申請書でさえ不正利用されて、犯罪者がシステムのバックエンド権限を得る場合があります。 SQL インジェクションでは、ハッカーがデータベースクエリに対する応答に悪意あるコードを入力します。 これによって機密データにアクセスし、オペレーティングシステム内で不正コマンドが実行されます。
高度標的型攻撃 (APT) は長期間にわたる標的を絞った攻撃として、ネットワーク内でできるだけ長期間検出されずに留まるよう設計されています。 この攻撃は、マルウェア、ゼロデイ攻撃、ソーシャルエンジニアリングなど幅広いアプローチを採用する場合があります。 攻撃者がシステム内に入り込むと、水平展開、特権昇格、データ流出などさまざまな手法を使用して機密情報にアクセスし、従来のセキュリティ対策を侵害しながら永続性を確保します。 検出されないと、APT は持続的に長期間の損害を組織に与える恐れがあります。
データほど貴重なものは他にそうありません。そのため、サイバー犯罪者は会社と顧客の情報リソースに不正アクセスしようと、絶えず新しい革新的な方法を開発しています。 しかしながら、今日のビジネスが犠牲になるべきではありません。 IT 管理のトップ企業である ServiceNow は、包括的な Security Operations (SecOps) ソリューションを提供し、組織が効果的なコネクテッドサイバーセキュリティ態勢を構築できるよう支援します。 Security Operations の導入によって、組織はサイバーセキュリティ脅威の検出と応答のプロセスを自動化し、応答時間を短縮してインシデントのインパクトを最小化します。 しかもこれはほんの序の口です。
インシデント応答を自動化して脅威に即時対応します。 応答ワークフローを作成してオーケストレーションし、チームにはデータ漏えいの疑いがある場合に取るべき手順について明確なガイダンスを提供します。 ネットワーク内の既存の脆弱性を特定し、優先順位を設定して排除します。 高度な分析と報告の機能を適用して完全な透明化ビューを作成します。 このすべてを通して、コンプライアンス管理について信頼できる唯一の情報源を提供し、関係者全員が機密データを保護する方法について十分に理解しながら、確立された規制も遵守し続けるようにします。
ビジネスのために効果的で効率的なサイバーセキュリティ態勢を創り出しましょう。 今すぐ ServiceNow SecOps のデモをご依頼ください。今最も危険なサイバー脅威から「脅威」を排除しましょう。