「サイバーセキュリティ」という言葉を耳にしたことがあるでしょう。サイバーセキュリティの重要性は絶えず議論されており、多くの場合、ウイルス対策ソフトウェアを購入してサイバーセキュリティを強化することが推奨されています。しかし、サイバーセキュリティが具体的に何なのか、よく理解している人は多くありません。このガイドでは、サイバーセキュリティとは何か、サイバーセキュリティがどのような脅威に対抗するのか、そして個人や企業のサイバーセキュリティを万全に保つ方法について解説します。
サイバーセキュリティとは何ですか?
サイバーセキュリティ(ITセキュリティまたは電子情報セキュリティとも呼ばれる)とは、コンピュータ、デバイス、サーバー、ネットワーク、システム、そしてデータをサイバー脅威や攻撃から保護することです。サイバーセキュリティは、パーソナルコンピュータからモバイルデバイス、クラウドアプリケーションに至るまで、多種多様なデバイスを対象とした、幅広い実践、システム、そして手法を網羅しています。
サイバーセキュリティはなぜ重要なのでしょうか?
毎日何千ものサイバー攻撃が発生しています。大企業や大企業のシステムに対するデータ侵害が広く報道されるケースもありますが、大半は中小企業や個人に影響を及ぼしており、報告されていません。
2015年、サイバー犯罪は世界に3兆米ドルの損害を与えたと推定されています。また、International Data Corporation(IDC)の推計によると、サイバーセキュリティ対策への世界的な支出は2022年までに約1,400億米ドルに達する可能性があります。サイバー犯罪は年々増加しており、サイバーセキュリティの技術と実践は、その増加に対応するために急速な進化が求められています。世界中の政府や企業がサイバーセキュリティ対策に多額の資金を投入していることから、近年、多くの教育機関がサイバーセキュリティ認定資格を提供しているのも不思議ではありません。サイバーセキュリティ分野で働くことは、非常に収益性の高いキャリアパスとなり得るのです。
サイバー犯罪は金銭的な損失に加え、企業にとって壊滅的な法的影響をもたらす可能性があります。サイバー犯罪者によるデータ侵害は、潜在的に機密性の高い顧客データを犯罪者にさらす可能性があり、企業の評判の低下や、顧客やクライアントからの法的訴訟につながる可能性があります。
データ侵害の件数は年々増加しています。侵害に対して最も脆弱なセクターは、小売業、医療機関、そして公共機関です。医療データや金融データを保管する組織は、その金銭的価値から頻繁に標的となりますが、あらゆる種類の顧客データが標的となります。データ侵害の成功例の多くは、経験豊富なサイバー犯罪者によって実行されています。こうした事態に備えるため、サイバーセキュリティ認定資格の取得を目指す組織が増えています。
サイバーセキュリティを意識する必要があるのは誰でしょうか?
サイバーセキュリティは、経営者や技術者、そして経営者だけが考慮すべきもののように思われるかもしれません。確かに、自分のビジネスを経営しているのであれば、サイバーセキュリティについて深く理解する必要があるでしょう。しかし、従業員として、あるいは日常生活でコンピューターやモバイルデバイスを使用する人(正直に言って、ほぼすべての人がそうです)として、少なくとも基本的な知識は必要です。サイバー脅威の危険にさらされているのは、テクノロジー業界の企業だけではありません。
サイバー攻撃とデータ侵害は、あらゆる種類、あらゆる規模の組織に影響を及ぼします。インターネット、オンライン通信、そしてデータストレージが、多くの企業の業務運営においてますます重要かつ重要な役割を果たすようになっているため、サイバーセキュリティをしっかりと理解することがますます重要になっています。サイバーセキュリティ認定資格を取得することは、その確実な方法の一つです。
サイバー セキュリティを理解し、自分や家族の個人データを安全に保護することは、特にオンライン バンキングの詳細をコンピューターに保存したり、ショッピングや銀行取引などのアクティビティにインターネットに接続されたデバイスを使用したりする場合に重要です。
ビジネスオーナーの場合、責任を負うのは自分のデータだけではないため、サイバーセキュリティを意識することがさらに重要になります。
組織内の全員がサイバーセキュリティの認定資格を取得するために何ヶ月、あるいは何年も費やす必要があると言っているわけではありません。しかし、組織内の少なくとも1人はサイバーセキュリティの資格を取得することを強くお勧めします。あるいは、サイバーセキュリティの認定資格を持つ企業や個人のサービスを利用することもできます。
サイバーセキュリティのさまざまな種類
サイバー セキュリティにはさまざまな種類のセキュリティが含まれます。
ネットワーク セキュリティとは、コンピュータ ネットワーク (組織内のデバイス間の通信システム) を攻撃者やマルウェア (マルウェアやその他の種類のサイバー脅威については後ほど詳しく説明します) から安全に保つことを指します。
アプリケーションセキュリティとは、組織が使用するソフトウェア自体のセキュリティを指します。破損または侵害されたアプリケーションは、サイバー犯罪者や競合企業などの悪意のある人物にデータへのアクセスを許可し、組織に甚大な被害をもたらす可能性があります。情報セキュリティは、保管中のデータ、またはシステムやデバイス間で転送中のデータのプライバシーに関連します。
運用セキュリティは、企業の手続きに大きく関係します。データの取り扱いと保護に使用されるプロセスが運用セキュリティを構成します。運用セキュリティは、ネットワーク上でユーザーごとに異なる権限を付与することで、強化・安定化を図ることができます。ここで、堅牢なデータセキュリティポリシーが重要になります。サイバーセキュリティ認定資格を持つデータ保護責任者(DPO)を配置することが強く推奨されます。
ディザスタリカバリとは、組織がデータ侵害やその他のサイバーセキュリティ問題に対応し、以前の状態に戻す方法です。ディザスタリカバリの実践は、強力なデータセキュリティポリシーの重要な側面です。事業継続とは、セキュリティ侵害やその他の問題により特定のシステムやリソースが一時的に利用できなくなった場合に、組織がどのようにその間に事業を運営するかを指します。
エンドユーザー教育は、サイバーセキュリティにおいて最も重要でありながら、見落とされがちな側面と言えるでしょう。エンドユーザー教育とは、デバイスやシステムのすべてのユーザーに対し、技術知識のレベルに関わらず、これらのシステムやデバイスを安全かつ確実に使用する方法を教育することを意味します。これには、フィッシング攻撃への対応、監査済みのデバイスのみの使用、強力なパスワードの使用などが含まれます。エンドユーザー教育は、優れた企業のデータセキュリティポリシーを構成する重要な要素の一つです。
サイバー脅威にはどのような種類がありますか?
サイバー脅威には様々な種類があり、よく知られているものもあれば、そうでないものもあります。十分なサイバーセキュリティ認定資格を取得することは、どのような脅威が存在するかをより深く理解するための一つの方法です。
マルウェアは最も一般的なサイバー脅威です。マルウェアとは、様々な有害なプログラムを指す包括的な用語です。「マルウェア」という言葉は「悪意のあるソフトウェア」の略語であり、まさにその通りです。サイバー犯罪者やハッカーは、メールに隠された添付ファイルなど、様々な方法でマルウェアを作成し、拡散させます。
ウイルスはマルウェアの一種です。一般的な用語とは異なり、「コンピュータウイルス」は、ユーザーの許可なくコンピュータにインストールされる有害なソフトウェアを指すものではありません。ウイルスとは、正常なファイルを破壊し、自己複製することで、人体への感染と同じようにシステム全体に拡散する特定の種類のプログラムです。
トロイの木馬は、ギリシャ神話のトロイの木馬にちなんで名付けられ、正規のソフトウェアを装い、意図的にコンピュータにダウンロードされて損害を与えるマルウェアの一種です。
スパイウェアとは、ユーザーの活動を監視・記録する悪意のあるコンピュータプログラムを指します。スパイウェアは、犯罪者が盗むためにクレジットカードや銀行口座の情報を標的とすることがよくあります。
ランサムウェアはその名の通り、ファイルを「人質」として奪い取ります。ランサムウェアは、身代金が支払われるまでユーザーが自分のファイルにアクセスできないようにするマルウェアの一種です(ただし、支払ってもファイルにアクセスできなくなる場合も少なくありません)。
アドウェアとは、コンピュータを乗っ取り、アプリケーションの使用中に常に広告を表示するマルウェアです。アドウェアの中には、原始的で簡単に見分けられるものもあれば、より巧妙なものもあります。
ボットネットとは、マルウェアに感染したコンピュータのネットワークです。サイバー犯罪者はこれらのネットワークを利用して相互に通信することができます。
サイバー脅威はマルウェアだけではありません。メールを使っていると、フィッシングという非常に一般的な脅威に遭遇する可能性が高いです。フィッシングとは、犯罪者が正規の企業を装い、メールでユーザーから情報(銀行口座情報など)を要求する詐欺の一種です。ほとんどのフィッシングメールはスパムフォルダに振り分けられますが、中には巧妙に仕組まれて見破られるものもあり、おそらくあなたも見たことがあるでしょう。もし、銀行口座情報を企業に提供すれば100万ドルの賞金がもらえると言われたら、それはフィッシング詐欺です。
SQLインジェクションは、あまり一般的ではないサイバー攻撃の一種で、犯罪者がSQL(構造化言語クエリ)ステートメントを使用してデータベースに悪意のあるコードを挿入するものです。これは、データベースに保存されている情報にアクセスするために使用されます。
サービス拒否(DOS)攻撃とは、犯罪者や悪意のある人物がサイトやシステムを標的とし、ネットワークが処理できないほどの大量のトラフィックを送り込み、システムを完全に使用不能にする攻撃です。DOS攻撃(DDOS攻撃)は、組織の運営を妨害するために集団で利用されることが多いです。
中間者攻撃とは、サイバー犯罪者がネットワーク上の2人のユーザー間の通信を傍受し、一方から他方に送信されるデータを盗み出すという脅威です。この攻撃は、セキュリティ保護されていないWi-Fiネットワークで発生することがよくあります。
近年、サイバー脅威はどのように変化しましたか?
サイバー脅威は、技術の進歩、ソフトウェアの発展、そしてサイバー犯罪者がシステムへの侵入やセキュリティ対策の回避のための新たな方法を発見するにつれ、絶えず進化しています。例えば、2019年末には、ある組織犯罪グループがDridexマルウェアを用いて世界中の様々な政府機関や企業のインフラを攻撃したとして、米国司法省から起訴されました。
Dridexは、既存のマルウェアやフィッシングメールを介してシステムに感染し、パスワード、金融情報、個人情報を盗み出すトロイの木馬の一種です。総額数億ドルに及ぶ経済的損失をもたらしました。もう一つの高度なトロイの木馬はEmotetで、オーストラリアサイバーセキュリティセンターは2019年末に様々な組織に警告を発しました。
長年存在しているもう一つの脅威はロマンス詐欺です。これは、犯罪者が恋愛相手のふりをして、ユーザーに金銭や銀行口座情報を送金させるように仕向けるものです。これは高齢者をターゲットにする際によく用いられます。インターネットの登場以来、ロマンス詐欺は存在していましたが、2020年2月には出会い系サイトやソーシャルメディアにおける詐欺行為の急増を受け、FBIは米国市民に警告を発しました。
ランサムウェアもここ数年で高度化しており、攻撃は特定の企業や地方自治体を標的としています。サイバー犯罪者は、ランサムウェア攻撃を実行する前に、標的に関する情報収集に時間をかける傾向が強まっています。
モバイルマルウェアも急増しており、フィッシング詐欺ではSMSやソーシャルメディアのメッセージを利用してユーザーを騙すケースが増えています。5Gネットワークの登場により、ネットワークやクラウドに接続されるデバイスの種類が大幅に増加しましたが、その多くはウイルス対策ソフトウェアなどのサイバーセキュリティソリューションで保護されておらず、強力なサイバーセキュリティ認証や機能を備えていません。これらのデバイスは、サイバー犯罪の格好の標的となる可能性があります。
2020 年にサイバー攻撃から身を守るにはどうすればよいでしょうか?
幸いなことに、個人やビジネスシステムを安全に保つために実行できる対策は数多くあります。ここでは、特に役立つヒントをいくつかご紹介します。
- ウイルス対策ソフトウェアを使用する:多くの企業がウイルス対策ソフトウェアを提供しており、推奨されるソフトウェアは常に変化しますが、常に何らかのウイルス対策ソフトウェアを使用することが重要です。ウイルス対策ソフトウェア(およびオペレーティングシステム)は、最新のセキュリティパッチで定期的に更新する必要があります。
- 強力なパスワードを使用する:「password」やペットの名前をそのまま使用しないでください。誰も推測できないパスワードを使用し、誰でも見つけられる付箋にパスワードを残さないでください。
- 電子メールの添付ファイルを開くときは注意してください。不明な送信者からの電子メールの添付ファイルにはマルウェアが含まれていることが多いため、開かないようにするのが最善です。
- 安全でないネットワークの使用は避けましょう:安全でないWi-Fiネットワークを使用すると、デバイスがあらゆる種類のサイバー攻撃の標的となる可能性があります。どうしてもこれらのネットワークを使用する必要がある場合は、VPNの使用を検討してください。
これらすべての対策を講じることは、コンピューターやインターネット対応デバイスを使用するすべての人にとって不可欠です。事業主の方は、従業員全員にも同じ対策を講じてもらう必要があります。
サイバーセキュリティ認定
企業のサイバーセキュリティを万全に保つ効果的な方法は、サイバーセキュリティの資格を持つ熟練したデータ保護責任者(DPO)を雇用することです。サイバーセキュリティに関する認定資格は数多く存在し、訓練を受けたDPOは、すべての従業員が遵守すべき強力な企業セキュリティポリシーを策定・実施することができます。サイバーセキュリティ認定資格に加え、企業が使用するすべてのソフトウェア、デバイス、プロセスに対する定期的なセキュリティ監査を実施することも強く推奨されます。
サイバーセキュリティの世界は難解に思えるかもしれませんが、学ぶべきことはたくさんあります。ほとんどの人にとって、基本的な知識を習得するだけで十分ですが、さらに深く学びたい方は、オンラインのサイバーセキュリティ認定資格を取得することで、あらゆる脅威から身を守るための自信をさらに深めることができます。
