MENU

会社での情報セキュリティ(SECURITY)て何?

情報セキュリティとは、情報を適切に保護・管理をすることで安全に活用できるように、必要な対策をすることです。
しかし、今やインターネットなしでは考えられない企業活動は、常に情報セキュリティの脅威に晒されている状態となります。

では、その情報セキュリティの脅威とは具体的に何でしょうか?
何から情報を守らなければならないのか、まずはどのような脅威があるか把握していきましょう。

.情報セキュリティの脅威

一般的にウイルスや迷惑メールを送り付けたり、企業のサーバーへの不正アクセスが原因と思われることが多いですが、その他にもちょっとしたミスから起きる流出や、地震などの自然災害によるデータ損壊なども含まれます。
これらの脅威は、技術的脅威・人的脅威・物理的脅威に分けることができます。

情報セキュリティの主な脅威

技術的脅威

プログラムが介在し、ネットワーク上から情報が漏洩したり破壊される脅威のことです。
代表的なものはソフトウェアのバグ・不正アクセス・マルウェアなどで、検知や対策がしにくいという特徴があります。

これらは、利用者偽装(なりすまし)やプログラム・ソフトウェアの脆弱性を突いたり、機械的に同じ攻撃を仕掛け総当たり方式でパスワードを推測するなど様々な方法でシステムに侵入してきます。外部から不正に入り込まれてしまうと気付かないうちに次の加害者になり、お客様や取引先に被害を与えてしまう可能性があります。

手口が巧妙になってきており、被害が広がりやすく社会的信用に大きな影響を与えることになります。

ソフトウェアのバグ
プログラムの不具合のこと。サービスのトラブルを引き起こす原因となります。

不正アクセス
アクセス権限を持たない者が、サーバーやシステムの内部へ侵入してシステムを乗っ取ったり、ホームページを改竄する行為です。

マルウェア
「malicious software(悪意があるソフトウェア)」の略語で、不具合を起こす意図で作られているソフトやプログラムの総称。

【マルウェアの例】
  • ランサムウェア
    データの暗号化破壊と引換にランサム(身代金)を要求する。バックアップの重要性が認知された為、「データを公開する」と脅迫する暴露型も増えている。
  • Emotet(エモテット)
    添付ファイルから悪意のあるマクロが動作し、ウイルスに感染。取引先や正規のメールへの返信を装う巧妙な手口で感染の拡大が試みられている。
  • ウイルス
    他のプログラムに寄生してそのプログラムの動作を妨げたり、ユーザーの意図に反する有害な作用を及ぼすためのプログラム。感染機能や自己拡散機能を持つ。
  • ワーム
    独立のファイルで他のプログラムの動作を妨げたり、ユーザーの意図に反する有害な作用を及ぼすためのプログラム。感染機能や自己拡散機能を持つ。
  • トロイの木馬
    ユーザーの意図に反し攻撃者の意図する動作を侵入先のコンピューターで秘密裏に行うプログラム。
  • スパイウェア
    感染したパソコンの内部情報を外部に勝手に送信する。
  • キーロガー
    ユーザーのキーボード操作をそのまま外部に送信する。スパイウェアの一種。
  • バックドア
    攻撃者が侵入するためのネットワーク上の裏口を開ける。
  • ボット
    攻撃者からの指令により他のコンピューターやネットワークへの攻撃や、サーバーからのファイルの盗み出しなど有害な動作を行うプログラム。

その他、さまざまな手法があり、日々新しい脅威が発生しているため、常に最新の対策が必要です。
フィッシング詐欺 – 送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりする。
標的型攻撃 – ターゲットを特定の組織やユーザー層に絞って行うサイバー攻撃。メールを利用して行われることが多く、標的型メール攻撃とも呼ばれる。
クロスサイトスクリプティング – ログイン画面やSNS投稿で勝手にリンクを添付。偽サイトへ移動、個人情報などを奪う。
バッファオーバーフロー攻撃 – コンピューターにメモリ許容量以上のデータを送りつけ、誤作動を起こさせる。踏み台に別のコンピューターを攻撃。
Dos攻撃 – サイトやサーバーに対して許容量以上のデータを送りつけサービスの遅延・停止をさせる。
ポートスキャン – ネットワークに接続されているサーバー上の稼働サービスに特定のデータを送信して、それに対応する応答を調べ特定する。
ゼロデイ攻撃 – セキュリティホールが発見された日から、解消するための対処方法が確立されるまでの期間に、当該脆弱性を利用して行われるサイバー攻撃。
総当たり攻撃(ブルートフォースアタック(brute force)) – ユーザーのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法。

人的脅威

直接”人”が関わり、情報資産が漏洩したり失われたりする脅威です。

情報漏えいの原因の8割は人的要因で「管理ミス」、「誤操作」、「紛失・物忘れ」によるものです。
在宅勤務やテレワークの普及により、自由度の高い自宅で過ごす時間が増えたため、企業情報の管理体制も今一度見直す機会かと思います。

人的脅威は意図的脅威と、意図せずに行われる偶発的脅威に分けられます。

意図的脅威
意図的という言葉のとおり、人が故意にセキュリティの侵害を行う脅威です。
金銭目的や恨みなど何らかの意思を持って、情報システムに侵入してデータを盗んだり、コンピューターウイルスなどに感染させてシステムを操作不能にしたりします。
ネットワークを介してだけでなく、名簿や個人情報を売って利益を得たり、クレジットカード情報を不正利用をしたり、関係者と偽って電話してきたり、盗み見するなどして重要な情報を入手しようとするソーシャルエンジニアリングも意図的脅威です。

偶発的脅威
人が意図せず引き起こす「ミス」による脅威。操作ミスや設定ミスなどでのメール誤送信・情報システムの障害が起こりえます。
2018年データ流出の情報漏えいの原因は、電車内に書類やPC・USBなどを置き忘れるといった「紛失・置き忘れ」が1位でした。
2020年コロナ禍でテレワークを余儀なくされた企業では、貸し出しPCが足りないことなどから、会社で指定されていない自身のPCを使うことも出てきているようです。このような際には特に、「紛失・置き忘れ」や「不正アクセス」に気を付けなければなりません。

これらを防ぐための体制を整えていても、セキュリティ上やるべき確認作業などの業務を怠る「サボタージュ」が人的脅威となる場合もあります。

物理的脅威

物理的脅威とは、停電によりシステムがダウンしたり、パソコンが故障により物理的に使えなくなることです。
要因でみると3つに分けることができます。
  1. 地震や火災、停電などにより、情報システムが操作不能に陥る環境的要因
  2. 重要なデータをバックアップを取らずに誤って削除してしまったり、パソコンを紛失してしまったなどの人的要因
  3. パソコン・サーバー・ネットワークなどの機器の故障によるデバイス的要因

物理的脅威は前述の技術的脅威・人的脅威に比べると発生する機会は多くありませんが、重大な被害になる場合が多いので注意しなくてはなりません。
復旧まで時間を要する場合、環境的要因が元で人的脅威に発展するリスクもあります。
発生頻度は低いものの、万が一の事態を想定して可能な限り被害を縮小できるよう対策することが大切です。