もっと知りたい！ Pickup IT用語　第60回　サイバーセキュリティ

また、総務省は「サイバーセキュリティ三原則」として、「ソフトウェアを最新に保つ」「強固なパスワードの設定と多要素認証を活用する」「不用意に開かない、インストールしない」の3点を心がけるように呼びかけています。

サイバーセキュリティには、機密情報の保護、業務中断の抑止、法令順守などが含まれます。技術的な対策だけでなく、インシデント対応策、従業員の教育や継続的な監視など、包括的なセキュリティ対策が不可欠となります。

サイバー攻撃は、ネットワークを通じて、企業や個人のシステムに対して行われる不正アクセスや攻撃行為を指します。代表的な手法として、マルウェアによる情報の改ざんや、窃取、デバイスの遠隔操作などが挙げられます。近年ではシステムを人質に取って身代金を要求するケースも増えています。また、従業員による情報漏洩など内部不正も問題になっています。

サイバー攻撃の手法は巧妙化、多様化しており、今後はさらに高度化すると予測されています。企業や組織は、最新の脅威情報に基づいた対策を講じる必要があります。最新の攻撃手法のトレンドは以下の通りです。

＜最新の攻撃手法＞
●サプライチェーン攻撃
標的となる企業の関連会社や委託先、取引先企業など、セキュリティが脆弱な中小企業をターゲットにする手法。それを足がかりに標的となる企業を攻撃する。IT/IoT機器やシステム、ソフトウェアの製造過程でマルウェアに感染させる手法も増えている。

●AI活用型攻撃
AIを用いて攻撃を自動化・大規模化し、セキュリティ対策を回避する手法。より高度なディープフェイクやソーシャル・エンジニアリングを仕掛ける。

●ゼロデイ攻撃
未知の脆弱性を突く攻撃。システムやソフトウェアの脆弱性が発見され、開発元が修正プログラムを公開するまでの間（ゼロデイ）に行われる手法。対策が確立される前に被害が拡大するため、防御が困難。

サイバー攻撃を受けた場合、以下のような被害が想定されます。

●顧客情報や機密情報の流出
個人情報や社内の機密情報が流出し、社会的な評価やイメージが低下。顧客や取引先からの信頼失墜につながる。

●サービスや事業の停止
製品やサービス提供に重大な支障をきたし、業務を中断。事業の継続が困難になり、倒産に至るケースもある。

●財務的損失
ランサムウェアによる身代金支払いや、損害賠償請求、復旧費用などの金銭被害。株価や利益の下落などの間接的損失も含まれる。

サイバーセキュリティには、主に「技術的対策」「物理的対策」「人的対策」の3つの対策があります。

●技術的対策
ソフトウェアやデジタル技術を用いて、システムやデータを保護する。例えば、ファイアウォールやウイルス対策ソフトの導入、ソフトウェアの脆弱性対策と定期的なアップデートなど。不正アクセスの監視と検知、インシデント発生時の対応を整備することも含まれる。

●物理的対策
防犯カメラの設置、生体認証など多要素認証システムの導入。耐震強化など、盗難・災害といった物理的要因への対策。

●人的対策
セキュリティ教育や研修を実施し、ヒューマンエラーや内部不正を防ぐ。セキュリティに対するルール（セキュリティポリシー）を策定、周知させる。

より安全性を高めるためには、上記3つの対策を相互に補完し合い、全体のセキュリティ体制を強化することが重要となります。

よく混同される言葉に「情報セキュリティ（information security）」があります。サイバーセキュリティはデジタル化された情報を保護しますが、情報セキュリティは情報資産の「機密性」「完全性」「可用性」を維持するための取り組みで、デジタルデータだけではなく、紙の文書など非デジタルの情報も含まれます。広義には、サイバーセキュリティは情報セキュリティに含まれます。

サイバーセキュリティと情報セキュリティは、対象範囲や保護対象が違いますが、別々に実施するのではなく互いに補完し合う関係にあります。どちらも企業にとって欠かせない重要な取り組みといえます。