サイバー攻撃対策で
押さえておきたい20のキーワード
年々増加の一途をたどるサイバー攻撃。インターネットやスマートフォンの普及やデジタル化とオンライン化が急速に進む一方で、セキュリティリスクも高まっています。サイバー空間をはじめ、デジタル領域への攻撃から被害を防ぐためのセキュリティ対策は徹底して実施する必要があります。
今回はサイバー攻撃対策で押さえておきたい20のキーワードを解説します。
❶サイバー攻撃 (Cyber Attack)
サイバー攻撃とは、サーバーやパソコンなどのコンピュータシステムに対して、ネットワークを通じて破壊活動やデータ窃取などを行う行為の総称で、「サイバーテロ」などと言われることがあります。攻撃者の目的は様々で攻撃により異なり、組織の基幹システムなどの重要インフラを機能不全に陥れ、社会的悪影響を及ぼすサイバーテロのほか、IT技術を用いた諜報活動であるサイバーインテリジェンスといった攻撃なども含まれます。政府や自治体はもちろんのこと、各企業も含めた国全体の治安、安全保障、危機管理にとって大きな脅威です。
近年、攻撃手法が高度化、巧妙化しており、既存の情報セキュリティ対策だけでは侵入を防ぐことが難しい状況が生まれています。侵入後に速やかに検知・対応が行えるインシデントへの対応体制(CSIRTなど)が必要です。
またサイバー攻撃には、被害者という側面だけでなく、自社を経由して他の企業に潜入するなど加害者となるリスクもあります。このことから、サイバー攻撃へ対抗していくため、様々な対策技術の導入や開発が行われています。
❷標的型攻撃 (APT)
標的型攻撃とは、サイバー攻撃手法の一種であり、特定の組織や人物を狙って執拗に繰り返し行われる攻撃を指します。APT [Advanced(先進的で) Persistent(執拗な) Threat(脅威)]攻撃などとも言われています。日本国内においても標的型攻撃の脅威が確認されており、企業情報の漏えいや個人情報の漏えいなど様々な被害が発生しています。標的組織への侵入の手口などの攻撃手法も多岐にわたっています。関係者を装い標的組織に対して攻撃メールを送付する標的型攻撃メール、マルウェアがセキュリティソフトウェアなどで検知されるのを回避するなど、様々な手法を用いて攻撃を行い標的組織への侵入を試みます。
標的型攻撃は侵入を完全に防ぐことは難しいといわれています。侵入されてしまうことを前提とした対策が必要とされており、イントラネットなどの内部環境への侵入も想定した対策が必要です。
❸フィッシング (Phishing)
フィッシングとは、実在する組織を装い、ユーザーIDやパスワード、ATMの暗証番号、クレジットカード番号といった個人情報を窃取することを目的とした攻撃手法の一つです。届いた電子メールやSMS(ショートメッセージ)に記載されていたリンクのURLをクリックすると、本物のWebサイトによく似た偽のWebサイトに誘導され、誤って入力してしまうと攻撃者に個人情報などが窃取されてしまいます。
近年は金融機関だけでなく、有名なショッピングサイトなどを騙った攻撃も増えており、攻撃の範囲が拡大しています。これに対して、なりすましをされた側の企業は、消費者に注意喚起の呼びかけをするなどの対策を行っています。
フィッシング対策サービス
TOPPANのフィッシング対策サービスとは、フィッシングサイトの出現を早期に検出し利用企業へ通知することで、通常より早く検知し、対応・対策することができる、日本国内企業向けに特化して開発したサービスです。
フィッシングサイトの検出を支援し、お客さまのリテラシー依存の状況から、事業者自らが検知しお客さまを守る体制づくりを目指します。
❹マルウェア (Malware)
マルウェアとは有害な動作を行う目的で作成された悪意のあるソフトウェアや悪質なコードの総称です。マルウェアという言葉は「悪意のある(malicious)」と「ソフトウェア(software)」を組み合わせた造語です。
マルウェアには次のようなものがあります。
ウイルス (コンピュータウィルス) (Virus)
感染機能や自己拡散機能を持つプログラムです。対象となるプログラムに寄生することで、プログラムの動作の妨害や有害な行動を及ぼします。
ワーム (Worm)
ウイルス同様、悪意のある感染機能や自己拡散機能を持つプログラムですが、独立したファイルとして存在しネットワークを経由して自己の感染拡大を試みます。
トロイの木馬 (Trojan)
ユーザーに気づかれないよう、正規のソフトフェアやファイルを装い、インストールさせ、侵入先のコンピュータで秘密裏に不正な動作をするソフトウェアです。ギリシャ神話に書かれたトロイア戦争(木馬に兵士を潜り込ませて敵をあざむいたとされる)に由来しています。
ランサムウェア (Ransomware)
システム内のファイルを暗号化しアクセスを制限し、その制限を解除するために代金(身代金)を要求するソフトウェアです。ランサムウェアという言葉は「ランサム(Ransom=身代金)」と「ソフトウェア(Software)」を組み合わせた造語です。
その他、スパイウェアやキーロガー、バックドア、ボットなど様々な種別があります。なお、マルウェアは機能別に様々な種類が存在しますが、実際には、複数の機能または感染後に機能を追加するマルウェアが一般的です。
❺DoS/DDoS攻撃
DoS攻撃 (Denial of Service attack)とは、サーバーやネットワーク機器に対して過剰なアクセスやデータを送付することでサービスの提供を不能にするサイバー攻撃の一種です。日本語では「サービス妨害攻撃/サービス拒否攻撃」などと呼ばれます。
DoS攻撃を、複数のコンピュータから一斉に行うのがDDoS攻撃 (Distributed Denial of Service attack)です。日本語では「分散型サービス妨害攻撃/分散型サービス拒否攻撃」と呼びます。
DoS/DDoS攻撃を受けると、企業が運営するWebサイトへのアクセスができなくなったり、ネットワークの遅延が起こったりします。結果的に取引ができないなどの金銭的な損害や企業の信用面でも大きな影響を受ける可能性があります。
❻ソーシャルエンジニアリング
人間の心理的、社会的な性質に付け込んで秘密情報などを入手する攻撃手法です。コンピュータやスマートフォンを操作している様子を後ろから盗み見る「ショルダーハック」やIDやパスワードが書かれた付箋などを暗記する方法など様々な方法があります。
会話などから不用意な情報漏えいを招かないためには、電車の中での会話やエレベーター内での会話、SNS(ソーシャルネットワーキングサービス)への投稿など注意が必要です。
❼ビジネスメール詐欺 (BEC)
ビジネスメール詐欺(BEC: Business E-mail Compromise)は、標的となる企業の取引先や企業内の幹部、弁護士や法律事務所などになりすまし、人をだまして詐欺行為を行う攻撃手法です。日本企業も被害を受けており、海外の取引先を騙った攻撃やCEOを詐称した攻撃など様々な手口を使って金銭の窃取を試みてきます。
また、経理部門などITに必ずしも詳しくない部署も攻撃対象となる可能性があることから、企業全体として注意を払っていく必要があります。
❽SQLインジェクション (SQLi)
SQLインジェクションは、データベースと連携したWebアプリケーションの脆弱性を突き、データベースを不正に操作する攻撃です。SQLとはデータベースを操作する言語で、「インジェクション」は「注入」という意味があります。
例えば、検索ボックスや入力フォームなどに記入する文字列に、不正な操作を行うSQL文を意図的に注入することにより、データベース内のデータの消去や改ざんを行います。
❾脆弱性 (セキュリティホール)
脆弱性は、ソフトウェア製品(OSなど)やウェブアプリケーションなどにおいて、コンピュータへの不正アクセスやマルウェアなどの攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題のことです。「セキュリティホール」とも言います。
脆弱性が残された状態のOSやソフトウェア、ネットワーク機器などは、サイバー攻撃の標的となります。そのため緊急性の高い脆弱性が発見された場合、ベンダーが提供する修正プログラムの適用や回避方法の実施など、速やかに対応を行う必要があります。
また、脆弱性を識別するための識別子として「CVE (Common Vulnerabilities and Exposures): 共通脆弱性識別子」、脆弱性の種類を識別す「CWE(Common Weakness Enumeration): 共通脆弱性タイプ一覧」、脆弱性の深刻度を評価するための指標に「CVSS (Common Vulnerability Scoring System): 共通脆弱性評価システム」などがあります。
❿セキュリティ診断 (脆弱性診断)
セキュリティ診断とは、セキュリティの専門家がシステムやネットワークなどのセキュリティに関する脆弱性がないかどうかを診断することを指します。またハッキングや内部犯行などのリスクを洗い出すことも含む場合があります。
セキュリティ診断には、専門家が攻撃者の視点で擬似攻撃(ペネトレーションテスト)を行う手法もあります。セキュリティ診断が実施されている背景として、近年のサイバー攻撃が巧妙化していること、そしてセキュリティ製品の導入だけでは防ぐことがむずかしくなってきていることがあります。
TOPPANの「Webセキュリティ診断サービス」
TOPPANが提供する「Webセキュリティ診断サービス」は、攻撃の想定対象ごとに、ニーズ・予算に合わせてカスタマイズ診断を提供するサービスです。
スマホ内の個人情報漏えいリスクや不正な外部通信などスマホアプリの脆弱性を発見する「スマホアプリ脆弱性診断」や、外部から攻撃の標的となるWebアプリケーションに潜む脆弱性を発見する「Webアプリケーション脆弱性診断」、サーバーやネットワーク機器のOSやミドルウェアに存在するセキュリティの問題点を発見する「ネットワーク脆弱性診断」をご用意しています。
⓫ペネトレーションテスト(Penetration Test)
ペネトレーションテストは、ネットワークに接続されているコンピュータシステムに対し、実際に攻撃を行い、侵入を試みることでシステムに脆弱性がないかなどをテストする手法の一つです。「侵入テスト」などとも言われます。
セキュリティ診断では、システムに存在する脆弱性やセキュリティ上の設定ミスなどを網羅的(広範囲)に検査するのに対して、ペネトレーションテストでは、調査対象のシステムの構成などに応じて、想定される攻撃シナリオを作成し、実際に攻撃が成功するかどうかをテストするため、調査範囲はセキュリティ診断と比較すると限定的ですが、セキュリティ機能の有効性などの検査も可能です。
⓬ゼロデイ(0-day)
ゼロデイとは、脆弱性が発見された日から、その脆弱性を解消するための修正プログラムが提供されていない期間のことです。また、その期間に発生した攻撃を「ゼロデイ攻撃」といいます。
「ゼロデイ」とは「zero-day」、つまり脆弱性の修正プログラムが提供された日を1日目とした場合に、修正プログラムがまだ提供されていない状態を「ゼロデイ=0日目」と表現したことからきています。
⓭インシデント
インシデントとは、英語の「incident」のことで、「出来事」や「事件」というややネガティブな意味合いで用いられる単語です。大きな出来事ではないものの、重大な事件になる可能性もあった事態といった意味合いです。
インシデントは、ITの運用管理やサポートの分野でよく使われており、例えば、何らかのITシステムのサポートで受け付ける「製品の不具合が生じた」「システムがフリーズした」などの問い合わせ一つひとつをインシデントと呼びます。
システム運用の場合は、提供されるサービスが中断したり、サービス品質を低下させたりする出来事を指します。
インシデントへの対応は多岐にわたります。インシデント発生時にスムーズな対応を行うためには平常時の備えが欠かせません。取得しているログの取得状況(期間や内容など)の見直し、連絡体制図の更新などいつインシデントが発生しても大丈夫なようインシデント対応体制を整えましょう。
⓮CSIRT (シーサート)
CSIRT (Computer Security Incident Response Team)は、コンピュータセキュリティに関わるインシデントに対処するための組織の総称です。
インシデントが発生した場合、通知を受け取る窓口として機能し、組織内及び必要に応じて外部のセキュリティ関連組織と連携して、状況を調査・分析するなど、インシデントへの対応を行います。
なお、CSIRTの活動は目的により異なり、インシデント関連情報や脆弱性情報、攻撃予兆情報の収集・分析、インシデントへの対応方針や手順の策定などがあります。
⓯BCP(事業継続計画)
BCP(事業継続計画)とは、自然災害、大火災、テロ攻撃などの緊急事態に遭遇した際に、事業継続と早期復旧を図る事前準備や計画のことを指します。
たとえ何らかの被害を受けたとしても、取引先などの利害関係者から、重要業務が中断しないこと、そして中断したとしてもできるかぎり短期間で再開することが望まれています。
防災対策と似ていますが、防災対策が人命の安全、建物などの資産保全を目的としている一方で、BCPは、「重要業務の継続」を目的としている点が異なります。企業はBCPをお客さまの信用維持や利害関係者からの高い評価のために実施することで、株主が求める企業価値の維持・向上も実現することができます。
⓰ゼロトラスト (Zero Trust)
ゼロトラスト(又はゼロトラストセキュリティ)とは、すべてのユーザーやデバイス、ロケーションを「信頼できないもの=ゼロトラスト」と捉え、守るべき情報資産やシステムへのアクセス時にその正当性や安全性を検証することで情報資産への脅威を防ぐという考え方です。従来の境界型ネットワークでは、境界から外の世界にある脅威に主眼が置かれていましたが、ゼロトラストでは、ネットワークの内部と外部を区別することなく、重要な情報資産やシステムにアクセスするものはすべて信用せずに検証することによって、脅威を防ごうとします。
例えば、ネットワークの内外に関わらず、通信経路を暗号化したり、多要素認証を利用したり、ログ監視を行ったりすることなどが挙げられます。
⓱サイバーセキュリティ人材
サイバーセキュリティ人材とは、サイバーセキュリティに関する専門性を備えたセキュリティを統括する人材のことを指します。セキュリティ対策を主たる目的とする業務や役割を担い、セキュリティ経営やセキュリティ統括、セキュリティ監査、脆弱性診断・ペネトレーションテスト、セキュリティ監視・運用、セキュリティ調査分析・研究開発といった各分野を担います。
サイバー攻撃のリスクが増大する一方で、サイバーセキュリティ対策を担う人材は不足しています。そうした中、サイバーセキュリティ人材の育成が急務となっています。
TOPPANの「DOJO」
TOPPANの「DOJO」シリーズは、サイバーセキュリティ人材育成のためのトレーニングサービスです。
TOPPANのグループ会社である株式会社Armorisが提供するもので、お客さまの目標に合わせてコンテンツのカスタマイズやアドバイスをしながら組織力強化・人材育成を支援します。
シリーズのうち、「DOJO」は自分のペースで課題に取り組む「GYM形式サイバー人材育成」プログラム、「DOJO Shot」は基礎から対応力まで個別テーマを集中的に学ぶ体感型トレーニングプログラム、「DOJO CORE」は技術から管理までコントロールする実戦型演習プログラムであり、その他にもニーズに応じたサービスをラインアップしています。
⓲ITサービスマネジメント(ITSM)
「ITサービスマネジメント(ITSM)」とは、お客さまのニーズに合わせた適切なITサービスを提供するマネジメント活動全般のことで、ITサービスの安定的な提供と、継続的な改善を行っていくための仕組みです。
ただ、システムを開発して運用するだけでなく、ビジネスの発展に貢献する視点を持つことが求められ、従来のシステム視点の「ITシステム」に加え、ビジネス視点の「ITサービス」をマネジメントすることが重要であるという考え方から、近年注目されています。
⓳サイバーハイジーン(サイバー衛生、Cyber Hygiene)
サイバーハイジーンとは、社内のIT環境や社員のPC、インターネット接続環境を把握し可視化するとともに、企業全体のセキュリティ意識を醸成しリスクの軽減や予防のために行う取り組みです。
サイバーハイジーンはITシステム部門だけではなく組織全体にセキュリティの基本的な対策を浸透させる必要があります。なお、サイバー空間をリアルタイムに把握するために、組織内のあらゆる情報資産のリスクを網羅的に可視化し迅速に対応が可能な仕組みが必要です。
⓴PKI(Public Key Infrastructure)
PKI は「Public Key Infrastructure」の略で、公開鍵暗号方式を利用した社会基盤(インフラ)です。政府や信頼できる第三者機関に設定された認証局(CA)に証明書を発行してもらい、身分を証明してもらうことで個人や会社の信頼を確保します。なりすましやデータの盗聴・改ざんを防ぐためのインフラとして使用されています。
公開鍵暗号方式とは、暗号化の際に使用する鍵と復号の際に使用する鍵が異なる方式です。使用する際は、公開鍵と秘密鍵のペア(キーペア)を作成します。公開鍵で暗号化された情報は対(ペア)となる秘密鍵でしか復号できない仕組みです。
TOPPANの「セキュアアクティベートサービス®」
TOPPANの「セキュアアクティベートサービス®」は、loTデバイスのセキュリティ対策を提供するものです。
近年、増えるハッキングや不正アクセスをはじめとしたIoTデバイスのサイバー攻撃リスクに、高度なセキュリティを備える「電子証明書・認証鍵配信サービス」と「IoTデバイス向けセキュアエレメント(SE)提供・発行サービス」の2つのサービスで備えるものです。
これらのサービスには、TOPPANが長年にわたるICカード(ICチップ)の取り組みで培ったセキュリティへの技術開発・ファシリティなどの実績・ノウハウが活かされています。
■ 協力 株式会社Armoris 〒110-0016 東京都台東区台東 1-13-1 https://www.armoris.jp/ |
2022.04.22