【基本編】セキュリティ対策の基礎的な考え方

2023年4月3日 2023年4月4日西村

皆様、こんにちは。

4月になり、多くの企業は新年度を迎えれられた時期かと思います。
社内の組織変更等にて新たにIT部門や情報システム部門等に配属になられた方もいらっしゃるのではないでしょうか？

本日は、これまでITやセキュリティに関してあまり触れる事がなかった方々も含め、今後数回に分けてセキュリティ対策の基本を改めてわかり易くご説明していきます。

セキュリティとは何なのか？

みなさまは、「セキュリティ」という単語を聞いて何を思い浮かべるでしょうか？
セキュリティには、大きく分けて「情報セキュリティ」と「サイバーセキュリティ」の２種類の考え方があります。

情報セキュリティ

情報セキュリティとは、企業が保有する情報を保全する事です。

必要なデータ・システムが必要な時に利用でき、不必要なアクセスを制御し、漏洩等の事故が発生しないように管理・維持する事が求められます。
これらは、「情報セキュリティの3要素」と呼ばれる以下の3つの項目を維持する事で安全な状態が保たれていると言えます。

頭文字をとって「情報セキュリティのCIA」とも呼ばれ、情報セキュリティマネジメントシステム（ISMS）に関する国際規格の日本語版であるJIS27000で定義されています。

ISMSやPマーク等のガイドラインに沿って公的認証を取得する事により、適切な情報セキュリティマネジメントを実施している事を対外的に明示する企業も多く存在します。

サイバーセキュリティ

「セキュリティ」と聞いた時には、こちらを思い浮かべる方が多いのではないでしょうか？

サイバーセキュリティは、2014年に施行されたサイバーセキュリティ基本法においては、以下のように定義されています。

サイバーセキュリティ基本法　第二条

この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式（以下この条において「電磁的方式」という。）により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置（情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体（以下「電磁的記録媒体」という。）を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。）が講じられ、その状態が適切に維持管理されていることをいう。

かなり広義に記載されていますが、要約すると前述の情報セキュリティに関する「情報」の保全に加えて、「情報システム」、「情報通信ネットワーク」も保護対象にしたものになります。

セキュリティ対策の考え方

前項では「情報セキュリティ」と「サイバーセキュリティ」の違いを説明しました。

セキュリティ対策と聞くと、これらを脅かす外部からのサイバー攻撃に関するものと思われがちですが、そうではありません。

例えば、企業の従業員による機密性の高い情報（データ）の不正な持ち出し等の内部不正への対策、不正送金への対策などもサイバーセキュリティに含まれます。

さらに、情報システムの安全性および信頼性の確保の対策も該当します。

これは、災害などによる大規模停電や、人為ミスなどによって企業の情報システムに障害が発生した場合に、迅速に復旧するための措置に関しても、サイバーセキュリティに含まれることを意味しています。

また、サイバー攻撃もインターネットを経由した外部からの攻撃だけではありません。

「情報通信ネットワーク又は電磁的記録媒体を通じた電子計算機に対する不正な活動」という文言は、USBメモリなどの記憶媒体の持ち込みや、フロア入退出による施錠管理などの物理的なセキュリティ対策も講じなければならないという事になります。

保護対象となる「情報」とは？

「情報」には形がありません。何らかの記録媒体に保存されたデータはもちろん、誰かが発した言葉や、人の脳の中に記録されているものも「情報」にあたります。

サイバーセキュリティの文脈において保護対象となる「情報」は、電磁的方式によりやり取りされるもの、つまりサーバや端末、記録装置などの記録媒体に保存されたデータに限定されます。

外部からの攻撃に関する対策とは限らない

サイバーセキュリティ対策は、外部からのサイバー攻撃（サイバーテロ、サイバー諜報活動（サイバーインテリジェンス、サイバーエスピオナージ）を含む）への対策はもちろんのこと、他にも例えば、企業の従業員による機密性の高い情報（データ）の不正な持ち出し等の内部不正への対策、不正送金への対策などもサイバーセキュリティに含まれます。

さらに、基本法の定義には、情報システムの安全性および信頼性の確保の対策も該当しますので、災害などによる大規模停電や、人為ミスなどによって企業の情報システムに障害が発生した場合に、迅速に復旧するための措置に関しても、サイバーセキュリティに含まれることになります。

サイバー攻撃はインターネットを通じた攻撃だけではない

基本法の定義における「情報通信ネットワーク又は電磁的記録媒体を通じた電子計算機に対する不正な活動」という文言は、サイバー攻撃を念頭に置いたものであり、これによる被害を防ぐために必要な措置を講じ、維持することもサイバーセキュリティの定義に含まれます。即ちインターネットを通じたオンラインの状態だけではなく、USBメモリなどの記憶媒体の持ち込みや、フロア入退出による施錠管理などのオフライン状態の物理的なセキュリティ対策も講じなければいけないという事になります。

このように、セキュリティ対策の範囲は、かなり広く捉える必要があります。

参考として、以下にセキュリティ対策に関する基本的な考え方・進め方の例を記載します。

セキュリティ対策とは、現状を正確に把握し、その評価結果に基づいた強化対策を実施して、理想とする姿に近づけていく事が必要です。

また、これら「評価と強化の一連のサイクル」を継続的に実施する事が非常に重要なポイントになります。

安全対策措置、脆弱性

セキュリティ対策を考える上では、前述の通り、現状をしっかり把握した上で、適切な安全対策措置を講じていく事が必要ですが、その中でも技術的安全対策措置として「脆弱性」に関する対策は特に意識しておくが求められます。

近年急増している外部からのサイバー攻撃に関しても、公開しているWEBサイトやシステム・ネットワーク等から侵入されるケースが非常に多いです。

これらの被害の原因は、WEBサイトやシステムに潜在する「脆弱性」を悪用したものが殆どです。

改めて、「脆弱性」とは何なのか？というところをご説明しておきます。

「脆弱性」とは、WebアプリケーションやOS／ミドルウェア、ネットワーク等のシステムプラットフォームに潜在するセキュリティ上の弱点や欠陥のことです。
これらの脆弱性を悪用すると、外部の第三者がシステムに侵入できたり、本来は閲覧できないはずの重要な情報を見る事ができてしまったりという事が起こり得ます。

具体的な例としては、脆弱性に関する対策を怠ると以下のような被害が想定されます。

悪意のある攻撃者は、基本的な脆弱性対策が出来ていないシステムを狙って攻撃をしてきます。

それらの被害は、ほとんどが良く知られた既知の脆弱性を突いたものであれ、基本的な対策が出来ていれば被害の85%は未然に防ぐ事が出来たという調査データも報告されています。
このような被害を未然に防ぐ為にも、システムに潜在する脆弱性の有無の確認、リスクの可視化に有効な「セキュリティ診断」を定期的に実施する事が重要です。

リスクを可視化するセキュリティ診断、その種類と最適な診断とは？

サイバー攻撃に対する安全対策措置を考える上で、重要な役割を持つ「セキュリティ診断」についてご説明します。

「セキュリティ診断」は、主な種類として以下の３つが挙げられます。

①システムに潜在するリスクを可視化する「脆弱性診断」

WEBアプリケーションのソースコードや、システムプラットフォームに使われているOS／ミドルウェア、ネットワークに潜在する「脆弱性を可視化」するものです。
可視化された脆弱性は適切な対策を施す事により、セキュリティインシデントのリスクを大幅に減らす事が可能です。
専門のエンジニアによる手動診断と、ツールによる自動診断、それらを組み合わせ診断を、診断対象の規模や用途、重要性などを考慮して実施します。

②セキュリティ対策の有効性を検証する「ペネトレーションテスト（侵入テスト）」

脆弱性診断があくまでもリスクの可視化であるのに対し、ペネトレーションテストは、専門のエンジニアが実際の攻撃に用いられる手法を使い、対象システムへの侵入を試みる疑似攻撃を実施します。
現時点でのセキュリティ対策の有効性や、脆弱性診断で可視化されたリスクへの対処状況などを把握する事が可能となり、システムの堅牢性が明確になります。

③クラウドサービス利用における管理項目の「コンプライアンス診断」

クラウドサービスの急速な普及に伴い、設定ミスによるセキュリティインシデントの発生も増加の一途を辿っています。ID／PWの設定不備や、クラウドストレージの閲覧権限設定不備等に起因する重要情報の漏洩等が代表的な被害です。
このような事故を未然に防ぐ為に、各クラウドサービスにはそれぞれベストプラクティスとされているガイドラインが存在します。
コンプライアンス診断は、現在のクラウド利用における設定をガイドラインと照合し、その適合状況を可視化するのものです。