セキュリティとは一体何か?
今こそ確認すべき基本から対策までわかりやすく解説

ゼロトラストとは?仕組みとメリット、実現に必要な取り組みを解説
                            実現に必要な取り組みを解説

サイバー攻撃が高度に複雑化しながら増加を続ける現代。セキュリティ強化に積極的に取り組む企業も多いでしょう。しかし、ひと口にセキュリティといっても関連する用語が多岐にわたり、理解が難しいと感じる方も多いのではないでしょうか。

ここでは、セキュリティの基礎から昨今のセキュリティ情勢、日々の業務で確認・意識すべきポイントなどをまとめます。

1. そもそも「セキュリティ」とは何か?

そもそも「セキュリティ」とは何か?

「セキュリティ(security)」とは、警護や警備、防衛などの意味を持つ英単語です。いずれも「対象を守ること」を意味します。

IT分野では特に「情報セキュリティ」「サイバーセキュリティ」「コンピューターセキュリティ」「ネットワークセキュリティ」の4種類があり、保護する対象は下記の表のとおりです。それぞれのセキュリティの意味を詳しく見ていきましょう。

名称 セキュリティ対象
情報セキュリティ 情報、コンピューター、ネットワーク
サイバーセキュリティ 情報、コンピューター、ネットワーク
コンピューターセキュリティ コンピューター本体
ネットワークセキュリティ ネットワーク

1.1. 「情報セキュリティ」とは

情報セキュリティとは、私たちが日々安心してITを利用できるよう、情報資産の機密性、完全性、可用性の3要素を守ることを指します。情報セキュリティの3要素の意味は以下のとおりです。

  • 機密性:アクセスを許可された人のみが情報資産にアクセスできること
  • 完全性:情報資産が破壊・改ざん・消去されず完全な状態が保たれていること
  • 可用性:アクセスを許可された人が必要なタイミングで情報資産にアクセスできること

情報セキュリティのポイントは、サイバー攻撃から情報資産を守るだけでなく、機器の故障による情報資産損失やアクセスできない状態を防ぐという観点も盛り込まれているところにあります。

情報セキュリティの詳細や対策は以下の記事で詳しく解説しています。

1.2. 「サイバーセキュリティ」とは

サイバーセキュリティは情報セキュリティの一部であり、サイバー攻撃から情報資産を守ることを指します。 代表的なサイバー攻撃には、不正に情報資産にアクセスする「不正アクセス」、メールを介してIT機器をマルウェア・ランサムウェアに感染させ情報資産の窃取や破壊・改ざんなどをおこなう「標的型攻撃メール」、IT機器の脆弱な部分を攻撃して情報を奪うなどする「脆弱性攻撃」などがあります。

サイバーセキュリティやサイバー攻撃の詳細は以下の記事で詳しく解説しています。

1.3. 「コンピューターセキュリティ」とは

コンピューターセキュリティとは、コンピューターそのものやコンピューターに保存された情報資産を守ることを指します。コンピューターセキュリティの例として、マルウェア・ランサムウェアの感染を防ぐ「ウイルス対策ソフト」、不正な通信を防ぐ「ファイアウォール」、情報資産の破壊・改ざん・消去などに備えた「バックアップ取得」などが挙げられます。

1.4. 「ネットワークセキュリティ」とは

ネットワークセキュリティとは、ネットワークやネットワーク上で動作するソフトウェアなどを守ることを指します。ネットワークセキュリティの例として、不正な通信を防ぐ「ファイアウォール」、不正なネットワークへの侵入を検知・遮断する「IDS」「IPS」、ネットワークでの異常な通信を検知する「NDR」などが挙げられます。

2. 【最新】近年のセキュリティインシデントとは?
脅威と被害

【最新】近年のセキュリティインシデントとは?脅威と被害

日々、目まぐるしく変化するセキュリティ情勢。ここからは、最新のセキュリティインシデントの状況をご紹介します。

IPA(情報処理推進機構)が公開している『情報セキュリティ10大脅威 2023』によると、組織におけるセキュリティインシデントトップ10は以下のようになっています。

  1. ランサムウェアによる被害
  2. サプライチェーンの弱点を悪用した攻撃
  3. 標的型攻撃による機密情報の窃取
  4. 内部不正による情報漏えい
  5. テレワークなどのニューノーマルな働き方を狙った攻撃
  6. 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
  7. ビジネスメール詐欺による金銭被害
  8. 脆弱性対策の公開にともなう悪用増加
  9. 不注意による情報漏えいなどの被害
  10. 犯罪のビジネス化(アンダーグラウンドサービス)

特に、ランサムウェアによって情報資産が利用不可となり業務が停止し、多大な損失を生む事案が多数発生しています。また、自社のセキュリティ対策が万全であってもグループ会社や取引先などサプライチェーンの脆弱性を突く「サプライチェーン攻撃」や、巧妙さが増した「標的型攻撃」なども多く発生しています。

一度セキュリティインシデントが発生すると、業務停止など一時的な損失だけでなく、企業の信頼失墜など、今後の企業活動に関わる大きな損失につながりかねない点は強く認識しておくべきでしょう。

セキュリティインシデントとその対策の詳細は以下の記事で詳しく解説しています。

2.1. セキュリティインシデントは年々増加している

サイバー攻撃は前述のとおり攻撃の手口が多様化・巧妙化しており、被害件数も年々増加しています。総務省の『令和2年版 情報通信白書』によると、フィッシング被害の報告件数は2019年6月で3,788件だったのに対し、2020年5月では1万4,245件と急増しており、企業の情報漏えいや資産の流出が多数発生しています。

近年はテレワーク導入やDX推進などIT技術を活用する取り組みが盛んにおこなわれています。その取り組みの隙を突くサイバー攻撃は今後さらに増える可能性があり、ますます万全の備えが求められるでしょう。

3. 自社のセキュリティを高めるには?確認すべきポイントと対策

自社のセキュリティを高めるには?確認すべきポイントと対策

では、自社のセキュリティを高めるためには具体的にどのような取り組みをおこなえばよいのでしょうか。確認すべきポイントと対策を4つ解説します。

3.1. 企業全体のITリテラシーを高める

どれだけセキュリティルールやツール、安全な通信インフラを整えたとしても、従業員を含めた企業全体のITリテラシーが低くては強固なセキュリティを構築できません。特にテレワークなど社外から社内ネットワークにアクセスするケースが増えている昨今では、従業員のITリテラシーを高める取り組みが欠かせません。

セキュリティやITリテラシーは情報の最新性や実際の事例に即しているかどうかが重要になります。そのため従業員のITリテラシーを高めるためには、専門企業が提供するセキュリティ研修の導入が有効です。
また、標的型メール訓練サービスなどを活用すれば、サイバー攻撃に対する実践的な演習ができ、ITリテラシーの向上につながります。

また、テレワークでのセキュリティ対策の詳細は以下の記事で詳しく解説しています。併せてご覧ください。

3.2. ネットワーク機器やコンピューターを見直す

脆弱性攻撃は、古くなったネットワーク機器やコンピューターが標的になります。設定に不備がある、バージョンアップがされていない、セキュリティソフトが入っていない状況では、容易に攻撃者の侵入を許し、多くの被害が生まれます。攻撃者の侵入を防ぐためには、古い機器の入れ替えや定期的なバージョンアップにより、攻撃者に付け入る隙を与えないことが重要になります。

QT PROでは、ネットワークセキュリティを高めるために必要な機能や専門的なサポートを提供しています。自社の環境に合わせて多様なサービスを受けられるため、ぜひ有効的に活用してください。

3.3. セキュリティ診断を実施する

セキュリティ対策を実施したあとも、それが適切なものになっているかの継続的な評価は欠かせません。セキュリティ診断を活用すれば、セキュリティ対策の有効性を検証するとともに、不十分なセキュリティ対策の改善策を検討でき、よりレベルの高いセキュリティを構築できます。

セキュリティ診断の詳細は以下の記事で詳しく解説しています。

3.4. 「ゼロトラストセキュリティ」に取り組む

社外から社内ネットワークへのアクセスやクラウドサービスの利活用が増えている昨今、社内・社外の境界を問わず情報資産に対するすべてのアクセスに均等に適切な情報セキュリティ対策を講じる「ゼロトラストセキュリティ」の考え方が主流になっています。
ゼロトラストセキュリティを実現するためには、多要素認証による認証強化や、ログ監視による不正通信検知などの取り組みが重要です。

ゼロトラストセキュリティの詳細は以下の記事で詳しく解説しています。

4. 普段の生活で意識すべきセキュリティと対策

普段の生活で意識すべきセキュリティと対策

ここまで組織としてのセキュリティ対策をご紹介してきました。同時に、個人レベルでも実行できるセキュリティ対策があります。
大切なのは、自身や業務の知識を安全ではない場所に入力・保存しないことです。以下のポイントを意識しましょう。

  • 正規のサイトを利用しているか
  • パブリックネットワークを利用していないか
  • 社外への情報、機器持ち出しはしていないか

正規のサイトかどうかを判断するには、URLが正しい文字列かを確認する、外部のサイトチェックツールを利用するなどが有効です。

パブリックネットワークは、他の利用者と隣り合わせの共同スペースです。個人情報や機密情報など、重要度の高い情報を扱うことの多い業務用端末は接続しないようにしましょう。

情報や機器の社外への持ち出しは、紛失・漏えいの原因になりえます。不用意に持ち出さないとともに、持ち出す必要がある場合には企業内の所定の手続きを経たうえでおこないましょう。

5. まとめ

まとめ

個人や企業が持つ情報資産を狙ったサイバー攻撃の手口は、年々多様化・巧妙化しています。日々安心してITを利用するためには、個人・企業双方が適切な対策を講じることが必要です。

社内で利用している機器を最新のセキュリティ状態に保ち、セキュリティ診断によるセキュリティ対策の効果検証と改善、ゼロトラストセキュリティの導入をぜひご検討ください。