多くの人々は認識していないかもしれませんが、サイバーセキュリティは個人、企業、政府に影響を及ぼしています。サイバーセキュリティとは、サイバー攻撃による不正アクセスからネットワーク、デバイス、データを保護することと定義できます。
世界経済フォーラムは、サイバー攻撃のコストが2022年の8兆4400億ドルから2025年には10兆5000億ドルに達する可能性があると予測しています。この記事では、サイバーセキュリティの重要性、セキュリティチームとITチームが現在直面している最も一般的な脅威と課題、さらにVeeamのデータ保護プラットフォームといったツールが企業をサイバー攻撃から保護するうえでどのように役立つかについて掘り下げています。
サイバーセキュリティチームの指針となる基本モデルは、Confidentiality(機密性)、Integrity(完全性)、Availability(アベイラビリティ)であり、CIAトライアドとも呼ばれます。それぞれの柱は、サイバーセキュリティチームが脆弱性や脅威アクターを効果的に検出して対応するうえで重要な役割を担っています。
業界内では、従業員、デバイス、データを保護するために、いくつかの異なる分野に焦点を当ててサイバーセキュリティチームが編成されています。以下のような分野があります。
組織の規模や、導入しているシステムやテクノロジーによって、サイバーセキュリティのアプローチは変わってきます。同様に、ビジネスが進化するにつれて、サイバーセキュリティ戦略も進化する必要があります。
サイバーセキュリティには、さまざまな脅威や攻撃からネットワーク、デバイス、データを保護することが含まれます。その理由と方法について理解を深めるために、「セキュリティインシデント」や「セキュリティ侵害」といったいくつかの重要な概念と用語について説明します。メディアを含む多くの人々はこうした用語を同じ意味で使用する傾向がありますが、それによって混乱が生じる可能性があるのです。ここでは、こうした用語の違いを明らかにしていきます。皆様のスキルアップの一助になれば幸いです。
セキュリティインシデント:組織の現行のセキュリティポリシーと手順に対する違反を指しますが、組織が実際にデータ侵害を受けたことを意味するものではありません。
セキュリティ侵害:機密情報の漏洩が原因でエスカレートされたセキュリティインシデントです。データ侵害は、セキュリティ侵害の一例です。
サイバー攻撃:セキュリティ侵害に関連しますが、システムのセキュリティ侵害を試みる攻撃です。
最も一般的なサイバー攻撃には、次のようなものがあります。
フィッシング:ユーザーをだまして機密情報を開示させたり、デバイスにマルウェアをインストールさせたりすることを目的とするソーシャルエンジニアリング攻撃です。フィッシングメールはよく、政府機関、銀行、オンライン小売業者などの実存する組織になりすまします。テキストメッセージやボイスメールを介したフィッシング攻撃が急増しており、攻撃者はユーザーのデバイスにマルウェアをインストールしようとします。
マルウェア:悪意のあるソフトウェアは マルウェアとして知られています。これは、ウイルス、トロイの木馬、ランサムウェア、ワーム、ボットネット、および個人のコンピューターに感染する可能性のあるその他の望ましくないソフトウェアの総称です。マルウェアが「自己拡散する」(ワームなど)場合もあれば、ユーザーがだまされて有用なものを装ったソフトウェア(トロイの木馬)をインストールしてしまったり、悪意のあるWebサイトにアクセスして知らず知らずのうちに感染したりする場合もあります。
ランサムウェア:ランサムウェアはマルウェアの一種で、ユーザーのコンピューター(またはネットワーク全体)を制御下に置き、暗号化したり窃取したりする目的で機密ファイルを探します。ランサムウェア脅威アクターは、ファイルを復号化するために暗号通貨の形で身代金を請求します。
分散型サービス拒否(DDoS):この攻撃では、膨大な数のコンピューター(多くの場合は他のサイバー攻撃で侵害されたもの)を使用して、被害者のサーバーにリクエストを繰り返し送信します。目標は、正当なリクエストに対処できないほど大量のトラフィックでサーバーを氾濫させることです。ほとんどの場合、この攻撃は正当なユーザーを妨害する以外の目的には役立ちません。ただし、他のハッキング活動を隠したり、他の脆弱性にアクセスできる可能性のある方法でサービスをクラッシュさせたりすることを期待してDDoS攻撃を使用する攻撃者もいます。
中間者(MITM)攻撃:MITMとは、知らないうちに攻撃者が2者間の通信を傍受して改ざんすることを指します。このタイプの攻撃は、ログイン情報、個人情報、財務データ、その他の機密情報を盗む目的で使用されます。
SQLインジェクション攻撃:この攻撃では、SQLデータベースを利用するWebアプリケーションに、脆弱性を悪用するべく、特定のコードが注入されます。悪意のあるSQLステートメントを入力フィールドまたはURLパラメータに挿入することでデータベースサーバーに送信させ、攻撃者がデータベースでデータの変更や削除などのコマンドを実行できるようにします。
パスワード攻撃:この種の攻撃にはいくつかの方法がありますが、いくつかの例を以下に示します。
サイバー攻撃の影響は、些細な不便さから非常に深刻なものまでさまざまです。
2022年10月に発生したランサムウェア攻撃では、Medibank社の当時および過去の顧客390万人分の個人データがハッカーにアクセスされました。同社は身代金の支払いを拒否し、この攻撃で2,500万~3,500万ドルの損害を受けたと推定されています。また、CommonSpirit Healthのシステムを標的にした攻撃も注目を集めました。このグループは140の病院と2,000の患者ケア施設を運営していますが、攻撃によりグループのシステムがダウンしたことで、重要な手術を遅らせざるを得ませんでした。また、医療提供者が患者の記録にアクセスできなかったために、誤った量の薬を投与された患者もいました。
サイバー攻撃は、企業の評判や銀行の残高に潜在的な損害を与えるだけではありません。医療提供者や航空会社といった安全を基盤とする組織が攻撃されると、人命が直接的、間接的に危険にさらされる可能性があります。
脆弱性とエクスプロイト
攻撃者がシステムにアクセスする代表的な方法の1つは、脆弱性やエクスプロイトです。脆弱性はシステムの弱点や欠陥であり、エクスプロイトはその脆弱性を利用して悪意のあるアクションを開始したり、不正アクセスしたりするために使用される方法またはツールです。
サイバーセキュリティのベストプラクティスの一環として、インターネットに接続するすべてのシステムを最新の状態に保つ必要があります。開発者は、ソフトウェアのセキュリティホール(脆弱性と呼ばれる)を見つけようとするハッカーの一歩先を行くために常に努力しています。
もう1つの代表的な脆弱性は「クロスサイトスクリプティング」と呼ばれるものです。この脆弱性は、Webサイトが外部ソースから送信されたJavaScriptを実行することを意味します。ユーザーからはポップアップやメッセージが本物のサイトの一部のように見えるため、攻撃者がこれを悪用して、サイトまたはWebアプリの他のユーザーをだまし、何らかのアクションを実行させようとする場合があります。
多くの脆弱性とエクスプロイトがあり、これらの問題の影響を受けるのはWebサイトだけではありません。デスクトップアプリケーション、ゲーム、サーバーも同様の方法で攻撃される可能性があります。多くの脆弱性には、インターネットに接続されたアプリケーションに異常な要求や予期しない要求を送信し、アプリケーションの応答方法を利用することが含まれます。
エンドユーザーやシステム管理者が、使用しているソフトウェアの脆弱性を特定して手作業で修正することは期待できません。今日のソフトウェアの複雑さを考えるとなおさらです。ですが、プロアクティブな脆弱性管理で、サイバー攻撃の被害に遭うリスクを減らすことはできます。多くの場合、倫理的なハッカーであれば、脆弱性を発見するとCVEと呼ばれるデーターベースを介して開発者に警告してくれます。これにより、開発者は問題のパッチをリリースする機会が得られます。CVEは最終的に一般に公開され、その時点でエクスプロイトが利用可能になる可能性があります。セキュリティアップデートが利用可能になったらすぐにソフトウェアにパッチを適用することは、攻撃者が一般に知られている脆弱性を悪用するのを防ぐために不可欠です。
セキュリティ対策
セキュリティパッチの導入に加えて、データを保護して脅威アクターやサイバー攻撃からデジタル環境を強化するための手順はほかにもあります。
たとえば、強力なIdentity and Access Management(IAM)戦略を策定することです。これにより、適切なユーザーが適切なときに適切な情報にアクセスできるようになります。パスワードレスのマルチファクター認証(MFA)でアクセスを管理することで、間違った人が間違った情報やデバイスにアクセスするリスクを軽減します。IAMの中核となる考え方の一つが「ゼロトラスト」です。これは、組織のネットワーク内外にかかわらず、すべてのユーザーにアプリケーションやデータへのアクセスを許可する、またはその許可の継続を認める前に、ユーザーのセキュリティ構成の認証、承認、継続的な検証を要求するセキュリティフレームワークです。
また、 暗号化を幅広く使用するのも良いアイデアです。使用しているログインフォームが暗号化されていること、およびネットワークに出入りするトラフィックも暗号化されていることを確認してください。さらに、バックアップをドライブに保存しているときとオフサイトに送信するときの両方で、バックアップを暗号化するようにしてください。この方法でデータを暗号化すると、ネットワークトラフィックを盗聴している者は誰もデータを読み取ることができません。バックアップドライブにアクセスできたとしても、データを読み取ることができないので、相手にとっては役に立たないものになります。
最後に、ファイアウォールは最も一般的なセキュリティの手段です。これらのアプリケーションはネットワークに出入りするトラフィックを精査します。不正なトラフィックをブロックするように設定できるため、脆弱性を探す攻撃者によるネットワークのスキャンを困難にして、DDoS攻撃の影響も軽減します。
上記のステップはあらゆるサイバーセキュリティ戦略の基礎ですが、問題が発生したときに備えて計画を立てておくことも重要です。優れたインシデント対応計画には、さらなる被害を防止する方法、企業の評判を管理する方法、損害から回復する方法、そしてできるだけ迅速に通常業務に復帰する方法が含まれます。ディザスタリカバリ計画をまだ策定していない場合は、自社のITチームやセキュリティチームと連携して計画を作成し、テストを通じて必要なすべてが網羅されていることを確認することをお勧めします。
社員の意識向上
システムがどれほど安全であっても、従業員がセキュリティを真剣に受け止めていなければ、常に侵害のリスクがあります。フィッシング、ビッシング(ボイスフィッシング)、なりすましなどのソーシャルエンジニアリング攻撃について従業員を教育しましょう。会社と従業員の両方のアイデンティティを保護するうえでパスワードレスとMFAが重要である理由を、従業員自身が理解していることを確認します。また、デバイスをロックする、エラーメッセージをよく読む、オープンWi-Fiには接続しないなどの「良い習慣」を実践することでも違いが生まれます。
従業員を定期的にテストしてベストプラクティスを順守していることを確認し、フィッシング攻撃に遭った場合などは改善や復習の機会としましょう。賢明で分別のある人でも、間違えることはあります。懲罰ではなく教育に焦点を当てることが大切です。
デジタル世界の進化に伴い、ネットワーク、デバイス、データを保護する責任は、セキュリティチームやITチームだけにあるわけではなくなりました。私たちはそれぞれ、情報とデータの保護とセキュリティを支える重要な役割を果たしています。
機密情報の保護
HIPAAやGDPRといった規制は、データ漏洩が発生した場合に企業が課せられる可能性のある罰則を定めています。今日、医療記録、財務記録、その他の個人データを含む膨大な量の個人情報がデジタル形式で保存されています。データ侵害が発生した場合、過失が発覚した企業には数百万ドルの罰金が科せられる可能性があります。罰金を免れたとしても、評判の低下によって長期的には顧客が離れてしまうかもしれません。
経済的影響
サイバー攻撃の規模によっては経済圏全域に重大かつ広範な影響が及び、個人や企業に対して以下のいずれか(またはすべて)の結果がもたらされる可能性があります。
金銭的損失
データ漏洩によるコスト
復元と修復にかかる費用
生産性の損失
風評被害
サプライチェーンの混乱
マクロ経済への影響(重要インフラストラクチャや金融セクターへの混乱を含む)
サイバー攻撃が経済に甚大な影響を与えた例として、2017年にNotPetyaランサムウェア攻撃がウクライナの電力網、政府、ビジネスシステムを混乱させただけでなく、グローバルサプライチェーンにも影響を及ぼし、世界中で推定10億ドル相当の経済的損失をもたらした事例があります。
国家安全保障
サイバーセキュリティは今や国家安全保障の問題になっています。政府機関やパブリックセクターの組織は、今日の他の企業と同様にコンピューターに依存しています。重要インフラストラクチャに対するサイバー攻撃は2022年に140%増加しました。医療から社会保障、税金、航空、さらには交通管理システムまで、あらゆるものがオンラインに移行する中、サイバーセキュリティはかつてないほど重要になっています。
プライバシーの保全
ソーシャルメディアとオンライン広告は大きなビジネスであり、ユーザーはデジタルフットプリントを管理することの重要性をますます認識するようになっています。EUのGDPR(一般データ保護規則)や米国カリフォルニア州のCCPA(カリフォルニア州消費者プライバシー法)などの規制では、企業によるユーザーの「個人を特定できる情報」の扱いを制限しています。過失によるデータの漏洩や許可のないデータの共有は、深刻な結果を招く可能性があります。企業はサイバーセキュリティを真剣に受け止めてユーザーを保護し、これらの規制を確実に遵守する必要があります。
信頼と評判
ユーザーも以前よりもプライバシーの問題に注意を払うようになり、自分のデータを誰に引き渡すかについてよく考えています。データ漏洩を許した過去がある企業は、顧客の維持に苦労するかもしれません。一度失った評判を回復するのは容易ではありません。しかし、明確にコミュニケーションを取り、侵害に気づいたらすぐに警告し、最初から侵害を防ぐための予防策を明確に講じている企業は、ユーザーと強い関係を築くことができ、最悪の事態が発生した場合でも信頼を取り戻せる可能性が高くなります。
サイバーセキュリティは複雑な問題です。次のベストプラクティスを念頭に置いておくことで、組織がサイバー攻撃の被害に遭うリスクを減らすことができます。
認証アプローチ
すべきこと:パスワードレスのアプローチ(Windows Hello、FIDOキー、SMS、メールコードなどの生体認証など)を有効にする
すべきこと:マルチファクター認証(MFA)を有効にする
すべきこと:従業員に効果的なトレーニングを提供する
すべきこと:組織にとってパスワードの利用が唯一のオプションである場合は、文字、単語、数字、記号を長く組み合わせた強力なパスワードを作成する
してはいけないこと:パスワードレス認証によって侵害から完全に保護されると想定する
してはいけないこと:パスワードの再利用
定期的なソフトウェアアップデート
すべきこと:すべてのデバイスで最新のパッチを使用して、ソフトウェアを最新の状態に保つ
してはいけないこと:不明なデバイスや古いデバイスをネットワークに接続できるようにする
してはいけないこと:ITチームの承認なしに、無許可のソフトウェアやアプリケーションをデバイスやネットワークにダウンロードする
社員教育・啓発
すべきこと:企業全体の保護において各従業員が果たす役割について、一貫したトレーニングを実施する
すべきこと:フィッシング攻撃について従業員を教育する
すべきこと:ソーシャルエンジニアリングやその他の攻撃のロールプレイ/シミュレーションを定期的に実行する
すべきこと:機密情報とデータの分類とラベル付けを従業員にトレーニングする
してはいけないこと:管理者アクセス権や、業務に必要のないその他の権限をユーザーに付与する
してはいけないこと:無料のWi-Fiホットスポットに接続する
データのバックアップと復元
すべきこと:定期的にバックアップを行う
すべきこと:バックアップの一部がオフサイトに保管されていることを確認する
すべきこと:バックアップと復元計画をテストする
すべきこと:データを暗号化する安全なバックアップツールを使用する
してはいけないこと:ネットワーク上に保存されたバックアップに頼る
してはいけないこと:かなり前に設定したバックアップシステムが、現在のオペレーションに対してもまだ十分であると想定する
効果的な復元計画の導入
すべきこと:詳細なディザスタリカバリ計画を策定してテストする
すべきこと:ITチームとセキュリティチームとのコラボレーションを確立して復元計画を共有する
してはいけないこと:シミュレーションを実行せずに、CTOの復元計画が十分であると想定する
ランサムウェアは現代のビジネスにとって深刻な問題であり、Veeamが2024ランサムウェアトレンドレポートで調査した企業の75%がランサムウェア攻撃を経験しています。調査に回答した組織の多くは、支払えなかった、あるいは法的な問題の可能性を理由に、身代金の支払いを選択しませんでした。データ消失に関する懸念は、データプロテクションレポートの調査対象となった4,200名のITプロフェッショナルからの回答でも繰り返されるテーマでしたが、変化を続けるサイバーセキュリティ環境において組織が対処している問題はほかにも多数あります。
モノのインターネット(IoT)のセキュリティ
IoTデバイスは、サプライチェーンや物流業界、医療現場でますます一般的になっています。 パッチが適用されていないIoTデバイスは、サイバー攻撃の標的となることが多く、ボットネットに使用されたり、攻撃者により野心的なサイバー攻撃の足がかりを与えたりする可能性があります。
セキュリティにおける人工知能と機械学習
AIはパワフルなツールですが、開発者がAIを試す中で新たな脅威も出現しています。プロンプトインジェクションの概念は、多くの悪意のあるアクターが実験しているものです。AIツールに悪意のあるプロンプトを与えることで、攻撃者はAIを制御し、それを使用してデータを抽出したり、他の悪意のあるコードを実行したりする可能性があります。
量子コンピューティングと暗号化技術
理論的に、量子コンピューティングでは、現代のWebの大部分の保護に使用されている暗号化アルゴリズムを破ることが可能でした。開発者は耐量子暗号化アルゴリズムに取り組んでいますが、ほとんどのオンラインサービスではまだ実装されていません。実際、より複雑な最新の暗号化システムは言うまでもなく、安全でないMD5暗号化を使用してパスワードを保存するWebサイトがまだあります。これは今後、深刻な問題になるかもしれません。
進化する脅威の状況
サイバーセキュリティは軍拡競争のようなもので、優れた開発者やシステム管理者であってもセキュリティに関して自己満足に陥ることは許されません。企業のITに携わるすべての人が、時間をかけて最新の脅威について常に知識を得て、脅威からシステムを保護する方法を学ぶことが重要です。
サイバーセキュリティは、開発者からシステム管理者、エンドユーザーまで、誰もが真剣に受け止めるべきものです。バックアップは、データを保護し、サイバー攻撃の影響を緩和する上で重要な役割を果たします。Veeamのデータ保護プラットフォームを組織のデータ保護に役立てる方法について詳しく知りたい方は、今すぐ弊社までお問い合わせいただき、デモをご予約ください。