サイバーセキュリティは、今となっては特別な言葉ではありません。毎日のように、いろいろなメディアで目にします。きっと皆さんも、サイバーセキュリティの大まかなイメージはつくはずです。しかしながら、「サイバーセキュリティとは何か?」説明を求められると、答えに困りませんか・・・
本コラムでは、あらためてサイバーセキュリティの基本を振り返りながら、計4回にわたってセキュリティ対策の本質への理解を深めていきます。
サイバーセキュリティとは
初回はサイバーセキュリティの定義からです。セキュリティといっても、コンピュータセキュリティやネットワークセキュリティ、情報セキュリティなどさまざまです。一般家庭を守るホームセキュリティや、企業を守る警備や保安もセキュリティと呼んだりします。
サイバーセキュリティは、もちろん“サイバー”ですから、その対象は「サイバー空間」におけるセキュリティのように思えます。サイバー空間とは、一般的にコンピュータやネットワーク上の仮想的な空間のことです。ただ、サイバー空間だけのセキュリティに限定するには、ちょっと無理があるのではないでしょうか。
これまでのセキュリティとの違い
パソコンやインターネットの普及で、コンピュータ・ネットワークに関するリスクは増加の一途を辿っています。近年では、インターネットを経由してコンピュータ資源を提供するクラウドサービスの普及や、従来インターネットに接続されていなかったモノ(センサー機器、住宅・建物、車、家電製品、電子機器など)が、ネットワークを通じて相互に情報交換をするIoT(Internet of Things)の増加。さらには、新型コロナウイルスの感染症対策を契機としたテレワークの拡大により、セキュリティリスクの環境は大きく変わってきています。
また、DX推進といったデジタル化の波は、物理的なフィジカル空間と、仮想のサイバー空間を高度に融合します。フィジカルとサイバーが複雑に絡み合うため、今まで想定していなかった脅威や脆弱性に晒されます。その一方で、怪しいメールの添付ファイルやURLリンクを誤ってクリックさせる手口は、今でもサイバー攻撃の定番手法なのです。
現在におけるセキュリティリスクは、ネットワーク経由の不正アクセス、ソフトウェアの脆弱性悪用、マルウェアへの感染など、コンピュータ・ネットワークの技術的な面を中心にしながら、物理的に建物へ侵入しての情報搾取や、人の不注意やミスなどを誘導する人的な面も深く関係しています。
いろいろあるセキュリティの種類
そして、現在のセキュリティには、実にいろいろな種類や分類があります。ここでは、それらの中から、押さえておきたい3つのセキュリティを取りあげます。
- 情報セキュリティ
情報セキュリティとは、企業や組織が有する情報資産をセキュリティリスクから守ることです。情報資産には、コンピュータ・ネットワークに関わるハードウェアやソフトウェア、データファイルやデータベースなどのデータ類、紙資料のドキュメントなどが含まれます。これら情報資産の機密性・完全性・可用性を維持するため仕組みが、国際規格のISO/IEC 27001です。情報セキュリティマネジメントシステム(ISMS:Information Security Management System)と呼ばれ、セキュリティ管理のスタンダードとして広く普及しています。
情報セキュリティとサイバーセキュリティの関係を考えると、情報資産をサイバー攻撃の脅威から守るといった点では、情報セキュリティの中にサイバーセキュリティが含まれるとも解釈できます。逆に、サイバーセキュリティの中に情報セキュリティが含まれるといった考えもあり、専門家の中でも意見が分かれるところです。
- IoTセキュリティ
IoTには、各種センサーやアクチュエーターなどの産業用デバイス、冷蔵庫やテレビなどのスマート家電、そしてスマートフォンや自動車のカーナビなども広く対象に含むことがあります。これらIoTの特徴としては、従来のコンピュータ機器と比べて、ネットワークに接続する数が圧倒的に多いという点です。世の中に新たな電子デバイスが登場すると、IoTの仲間はどんどん増えていきます。私たちが特段意識することなく、身の回りの機器がネットワーク経由で情報をやりとりする時代です。
こうしたことから、IoTのセキュリティリスクが顕在化すると、その影響範囲が非常に大きくなります。小型のIoTでは機器のチップ性能(CPU等)やリソース(メモリ等)が制限されることから、対策ソフトウェアを動作させるのが難しかったり、モニター画面がなくて問題の発生に気づかなかったりします。 - OTセキュリティ
OTとは、Operational Technology の略語です。そのまま日本語に訳すと運用技術となり、システムの運用に関わる技術のように思えます。実際には、工場やプラントなどの機械設備や生産ラインを監視・制御するための、ハードウェアやソフトウェアに関する技術のことなのです。ここ近年、一般的な情報システム等を示すIT(Information Technology)に対して、ITに含まれない制御システム等をOTと呼んでいます。
従来のOTでは、機械設備の導入に合わせ、メーカー独自のハードウェアやソフトウェアを用いて、クローズドなネットワーク環境で制御システムを構築していました。それが今では、ITと同様にWindowsをOSとするパソコンやサーバー、TCP/IPなどオープンなネットワーク環境へ変わっています。
しかしながら、制御のリアルタイム性や可用性を重視するがゆえに、マルウェア対策ソフトの導入やセキュリティパッチが適用できないといった、ITと同じようなセキュリティ対策が難しい側面があるのです。
OTは、自動車を代表とする組立工場や、大規模な化学プラントはもちろんのこと、電力など重要インフラに欠かせないものです。OTがサイバー攻撃の対象になると、社会経済に与える影響は計り知れません。
サイバーセキュリティの対象
こうした各種のセキュリティに対して、縦割りのように対策を分けて進めるのはナンセンスです。サイバー攻撃では、さまざまなセキュリティリスクが巧みに組み合わせられます。あたり前のことですが、「○○セキュリティは対象外!」とはならないのです。
たとえば、サイバー攻撃で用いられる一連のステップとして、次の1~8が考えられます。
- 悪意を持つ者が、業者に成りすまして事務所に入り込む
- 事務所内の書類を漁り、攻撃に用いるメールアドレス等の情報を収集する
- 盗んだ情報を使い、ターゲットに対して巧妙な偽のフィッシングメールを送る
- メールを受信した担当者が、悪意のあるWebサイトのURLリンクをうっかりクリックする
- マルウェアに感染(ダウンロード実行)し、外部ネットワークへのバックドアが開通する
- バックドアから不正アクセスが行われ、社内のシステム環境が調査される
- 脆弱性を悪用して重要システムに侵入され、機密情報が漏洩する
- 攻撃の痕跡(ログファイル等)が消去される
サイバーセキュリティは、こうしたセキュリティリスクに対して、総合的に対処する必要があるはずです。その対象は広い範囲に及びます。
次回は
第2回では、サイバー攻撃の詳細を紐解き、その仕組みをわかりやすく説明します。実際に攻撃者はどのように攻めてくるのか、その裏側を見ていきましょう。