サイバー犯罪の対策は万全ですか?
いまでは誰もがセキュリティ対策を行う時代です。
みなさんもパソコンやスマホを使っていると思いますが、情報セキュリティに対する具体的な対策をしていますか?

すでにバッチリできていれば、今回の内容を読まなくても大丈夫ですが、
もし対策が漠然としている、もしくは全く知らない方のために知っておきたい基礎的な内容を書いています。

情報セキュリティの3大要素

はじめに、情報セキュリティとは何でしょうか?
じつは明確に定義されています。

  • 情報の機密性
  • 情報の完全性
  • 情報の可用性

情報セキュリティの定義とは上記3つの性質を表しています。
そして、それぞれの性質がバランスよく維持するのを目指していきます。

以下に3つの要素をそれぞれ解説しています。

情報の機密性

情報の機密性とは、「情報が漏れないように対策すること」を表しています。
実例としては、不正アクセスから身を守るために「決められた人だけが情報にタッチできるようにする」などがあります。

具体的にどんな情報を守る必要があるのか? 

  • 従業員の個人情報
  • ECサイトなどのユーザー個人情報
  • 製品情報
  • フォルダなどのアクセス権限
  • ファイルのパスワード

一般にイメージしやすい実例を挙げました。
対象のデータへアクセスできる人間を限定して、ヒューマンエラーによる情報漏洩の安全性を担保できます。
そして実施するには注意する点がいくつかあります。

  • 分かりやすいパスワード・IDになっていないか?
  • 予測がつきやすいルールで管理していないか?
  • ルールが厳しすぎて利便性が悪くないか?
  • 社内・外部の悪意ある者へ対策ができているか?

上記のポイントを意識してバランスよく対策します。
あまりに複雑な設定にすると、利便性が悪くなりルールを順守されない可能性もありますので、ベストな方法を模索しましょう。

情報の完全性

つづいて情報の完全性です。
性質としては「情報が正確で最新の状態を保っているのか?」を表しています。
以下に実例をあげます。

想像してみてください。
私たちは医療機器を扱っているとします。
そしてAIが人間の代わりに外科手術をしています。

医療の現場では万が一にもミスは許されない状況です。
情報の完全性を高めることで、「どんな時でも情報が正確で最新の状態」にする必要があります。

以下にポイントを箇条書きでまとめてみました。

  • データのバックアップを取ること
  • アクセス制限による情報の機密性を高めること
  • データの誤入力を対策する
  • データの複数管理しないで一括で管理する

ほかにも完全性を高める具体例があります。
オンライン上でショッピングする場面を思い出してください。

個人情報を入力する画面でミスがあり、エラーメッセージが出現したことがあると思います。
自動化によって情報の完全性を高める工夫の1つと言えます。

情報の完全性は、システムの管理やヒューマンエラーなどを防止するための対策になります。

情報の可用性

情報の可用性とは、「必要な人が必要な時に使える状態なのか?」 を表しています。
ここで質問をさせてください。

あなたの会社の情報システムはいままで止まったことがありますか? 
もしあなたが会社の情報システムを扱っているならば、どんな時でも停止してはいけないと考えますよね? 
停電などのトラブルが起きても、システムが稼働できる状態を目指しますよね?情報の可用性とはリスクに備えるための対策となります。

もう少し規模の大きな話で例えてみます。
会社のシステム拠点が東京と大阪にあり、東京が大災害によって稼働出来なくなりました。
それでも大阪で稼働できる状態であれば、システムの可用性が高いといえます。

可用性について注意点は2つあります。

  • システムを2重化すること
  • 機密性・完全性とのバランスを保つ

機密性とのバランス実例

会社の重要な機密情報があるとして、社長だけが管理している状況を想像してください。
もし社長と誰も連絡が取れなくなったらどうでしょうか?
最悪の場合、情報に誰もアクセスできなくなります。
機密性が高すぎる結果です。

完全性とのバランス実例

全国各地に拠点がある企業で、顧客データなどの情報漏洩対策のため、アクセスを制限して一括で管理しています。
システムも最新で正確である。しかし紛失に備えたリスク管理は0である。
もし完全性が高すぎて、システムを2重化できないとしたらバランスを崩しています。

情報セキュリティを取り巻く脅威

情報セキュリティについて3つの要素は、バランスが重要であると言えます。100%完璧な管理というのは難しいかもしれませんが、会社の状況や環境に合わせてベストな対策を試行錯誤しましょう。

ここからは、情報セキュリティを脅かす実例を紹介します。

IPA(情報処理推進機構)が情報セキュリティ10大脅威として、2018年と2019年に発生しているサイバー犯罪をランキング形式で発表していますので、以下に引用します。

IPA(情報処理推進機構)より引用
https://www.ipa.go.jp/security/vuln/10threats2019.html

個人と組織で注意するポイントが変わります。
注目は4位に新たな手口がランクインしている事実です。
テクノロジーや環境の変化によって手口は変わっていくので、少しでも新しい情報を入手して危険を回避しましょう。

メール等を使った脅迫・詐欺の手口とは?

IPAの調査によって分かりました。
2019年に個人で新たにランクインしているメールを使った新たな詐欺の手口は「セクストーション(性的脅迫)スパム」が該当しています。

こんなシーンを想像してみてください。


なにげなく受信したメールを開いてみると、
アダルトサイトを閲覧しているあなたの姿をウェブカメラで撮影した」
「あなたは変態です。超変態です。」
「家族または同僚にばらまかれたくなければ金銭を支払え」


非常にインパクトのある文言ですよね。
そして支払いはビットコインなどの仮想通貨で要求するケースが多いです。

手口は巧妙で、受信したメールの送信アドレスを見ると「自分のメールアドレス」になっていて、「メールをハッキングした」「メールにフルアクセスしている」などの内容で脅してきます。
ですが実際は、ネット上に漏洩したメールアドレスを使って無差別に送っているだけなのです。

人の弱みに付け込む手口なので。騙されてしまう人が必ずいます。
これからも形を変えて新しい手口は生まれてくるでしょう。
人間心理の弱点をつく詐欺のやり方を理解しておけば、騙されにくくなります。

サプライチェーンの弱点を利用した攻撃とは?

つづいて組織で新たにランクインした攻撃手法です。

はじめにサプライチェーンとは何か? 物流の用語で「供給連鎖」と呼ばれ、商品の原材料などからはじまり、販売して消費されるまでの一連の流れを表しています。

では、サプライチェーンの弱点とは? 
一般に大企業はセキュリティに多額のコストをかけているので、サイバー犯罪者はセキュリティが比較して弱いグループ会社、取引先、業務委託先、仕入先、発注先などを狙います。

事例を紹介します。


サイバー犯罪者は、まず中小企業の管理職に該当する人物のメールをハッキングします。
つぎに中小企業の管理職になりすまし、大企業の取引担当者へ「振込先が変更になった」と偽の口座情報を伝えるメールを送ります。
偽物とは知らない大企業の担当者が実際に偽の口座へ振り込んでしまう事件が発生しています。


事例のように、中小企業が足がかりとなって大企業が被害を被るケースが実際に発生しています。
関連する会社のセキュリティ事情まで把握するのは難しく、サプライチェーンの弱点とされています。

さらに、「ソフトウェアサプライチェーン攻撃」と呼ばれる手口があります。
ソフトウェアやIT機器製品の開発・製造・流通・配布など、一連の流れにコンピュータウィルスを仕込む攻撃手法です。

日本の9割以上の会社は中小企業と言われており、大企業と比べてコストや人的要因で充分なセキュリティ対策ができていないのが課題です。

個人ですぐに出来る情報セキュリティ対策

インターネットを使う個人でも、すぐに出来る対策をまとめてみました。

ソフトウェアの更新(アップデート)

ソフトウェアのセキュリティで弱点があれば、サイバー犯罪者は狙ってきます。
いつも更新(アップデート)して最新の状態にすることはセキュリティ対策にもなります。

ウイルス対策ソフトを入れる

パソコン、スマホ、ゲーム機などインターネットに接続する機器はウイルス対策ソフトを入れましょう。
すでに知られているウイルスに対抗できるようになります。
それでも、新たに生まれてくるウイルスには対抗できないため、過信せずにアップデートは頻繁に行いましょう。

悪質なサイトに注意する

インターネットを使用していると出現する、悪質なサイトやリンクについてまとめました。

  • 不審なダウンロードリンク(ウイルスのインストール等)
  • 突然警告メッセージが出現し、偽のソフトウェアをインストール指示
  • 何かのリンクをクリックすると、会員登録完了、請求などの文言が出現

怪しいメッセージが出た場合は、焦らず落ち着いて回避しましょう。
そして不用意にリンクをクリックしないことが重要です。

ID・パスワードの管理

ネットショッピングやSNSなど、いつも同じパスワードを使いがちです。以下の点に気を付けて管理しましょう。

  • パスワードは8文字以上(文字、数字、記号を混ぜる)
  • 生年月日、電話番号、キーボードの配列で推測されないようにする
  • パソコン本体、デスクの上など目に付くところにメモしないようにする

メールの添付ファイル

見知らぬ人からのメールに添付されているファイルは絶対にクリックしない。
手口が巧妙な場合、第三者が知人になりすましている場合もあります。
違和感があれば不用意にクリックしてはいけません。

個人情報の扱いについて

個人情報などをSNSなどで極力公開しないようにする。
一度でもWeb上に流出してしまった情報を後から完全に消すことは不可能と言っても過言ではありません。

情報セキュリティへの意識

今回は情報セキュリティの3要素、組織で身近に起こりうるサイバー攻撃について、また個人でも実践できる対策方法について書きました。

社会が便利になる反面、情報セキュリティにアンテナを張りましょう。
危険を察知する能力が高まります。

2020年以降は5Gの時代が来ると言われています。
より多くの機器がインターネットに接続するようになります。
そうなればサイバー犯罪のリスクは更に増すでしょう。
時代が変わればまた新たな手口も生まれてくるでしょう。
情報セキュリティへの感度は上げておきましょう。