サイバーセキュリティとは？進化する攻撃手法とその対策法を解説！

日々脅威を増すサイバーテロへの備えは、企業にとって大きな課題です。リモートワークが身近になったことで、サイバーセキュリティへの意識はさらに高まるようになりました。 

複雑化するサイバーテロに対抗するには、日頃からセキュリティ意識を高く持つことが重要です。ここではサイバーセキュリティの攻撃手法や最新の動向、さらに対策方法までを詳しく解説していきます。 

サイバーセキュリティとは、デジタル情報を外部から守る防衛手段です。 

現代社会では、銀行口座やクレジットカード情報、顧客データなどあらゆるものがサイバー空間に保存されています。これらを狙ったサイバー犯罪は右肩上がりに増加しており、いかに情報資産、個人情報などを守るかは企業の大きな課題といえるでしょう。 

インターネットの普及で私たちの生活はより快適になりましたが「どこからでも情報にアクセスできる」＝「常に脅威にさらされている」ということを認識することも大切です。サイバーセキュリティはこの脅威に対抗する手段なのです。 

「サイバーセキュリティ」と「情報セキュリティ」の違いは定義の広さにあります。「情報セキュリティ」はより広義の意味で使われます。つまり「サイバーセキュリティ」は「情報セキュリティ」の一部と考えればよいでしょう。 

では、サイバーセキュリティと情報セキュリティの具体的な違いはどこにあるのでしょうか。 

サイバーセキュリティがカバーするのはあくまでサイバー空間のセキュリティに限られるのに対して、情報セキュリティはサイバー空間だけに留まりません。 

たとえばサイバーセキュリティは、不正アクセスやウィルス検知など、サイバー空間での防衛に限定されます。対して情報セキュリティは社内に部外者が簡単に入れないようにする、サーバールームに入れる社員を限定する、といったことも情報セキュリティに含まれます。 

情報セキュリティについては、「情報セキュリティとは？押さえておきたい基礎知識を紹介！」をご覧ください。 

サイバー攻撃の手口は複雑化しており、さまざまな手法が存在します。ここではサイバー攻撃でとくに代表的なものを解説していきます。 

• 標的型攻撃 
• パスワードの窃取・解析 
• ランサムウェア 
• ゼロデイ攻撃 
• DoS攻撃・DDoS攻撃 

標準型攻撃とは、特定の企業や組織を狙った攻撃で、ビジネスメールなど業務連絡に偽装して、悪意のあるソフトウェアやコードなどのマルウェアに感染させる手法です。具体的には取引先企業からのメールを装って、URLや添付ファイルを開かせることでマルウェアを侵入させます。近年では大企業や公的機関などを狙った事件も多発しており、そこで大量の個人情報が流出するなどしています。 

ユーザがキーボードを操作した情報を盗み取る「キーロガー」に代表されるようなスパイウェアで、パスワードを盗聴する手法です。ほかには、本来の入力フォームとは違う偽の画面に誘導してアカウント情報を盗む「フィッシング詐欺」などがあります。 

銀行口座やクレジットカードなどの情報が盗まれると身に覚えのない高額請求が来る、ある日銀行残高がゼロになっていたなどの被害にあうことがあります。 

ランサムウェアとは、企業のネットワークに侵入してデータを改ざん、暗号化してしまうマルウェアです。データを改ざんしたあとに、データを復元することと引き換えに身代金を要求してくることがあるため「身代金要求型不正プログラム」とも呼ばれます。 

OSやソフトウェアの脆弱性が発見されると同時に行われる攻撃手法です。脆弱性はユーザーへの注意喚起として公表され、その後メーカーが修正プログラムを配布します。しかしこのタイムラグを利用して攻撃者が攻撃プログラムを開発してしまうと、ユーザーは脆弱性から身を守ることが困難になります。 

一度に大量のリクエストを送信してサーバーに過剰負荷をかけることでダウンさせる手法です。サーバーは想定されるユーザー数に合わせて処理能力が設定されているため、想定以上のアクセスが来るとダウンしてしまいます。これを狙って意図的に大量のリクエストを送るのがDoS攻撃・DDoS攻撃と呼ばれるものです。 

以下の表はIPA（情報処理推進機構）によって作成された10大脅威です。これは2021年に発生した事案を踏まえ、組織に対して影響度の大きいと考えられるものがランキングされています。 

（引用：IPA（独立行政法人 情報処理推進機構）「情報セキュリティ10大脅威 2022」（外部）：https://www.ipa.go.jp/security/vuln/10threats2022.html） 

こうしてみると、「ランサムウェアによる被害」「標的型攻撃による機密情報の窃取」が2大脅威となっています。注目する点は「サプライチェーンの弱点を悪用した攻撃」が2020年の4位から2021年は3位に上がっている箇所です。  

これは大企業のセキュリティ対策が強化されたことで、比較的狙いやすいサプライチェーン＝関連企業・下請け企業を狙った攻撃が増加してきていることを意味しています。 

また、「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」は2021年から新しくランクインしました。サイバー攻撃者からしても無防備な相手を狙ったほうが難易度は低いため、頻度が上がっていると見込まれます。 

こうした動向を見れば、中小企業であってもセキュリティ対策に力を入れなくてはいけないことがわかります。もし、大手企業と取引がある、もしくはこれから取引を考えているのであれば、先方はセキュリティ対策の有無を気にしてくるはずです。対策コストを惜しんでいると将来的な売上に影響する可能性があります。 

サイバー攻撃の脅威は3つに分類されます。それぞれについて詳しくご紹介します。 

• 技術的な対策 
• 人的な対策 
• 物理的な対策 

技術的な対策とはハードウェアやソフトウェアを活用したものです。実施しやすいのは業務用デバイス（パソコンやスマートフォンなど）へのセキュリティソフト導入でしょう。 

ソフトウェアは、常に最新バージョンにアップデートしておきましょう。社内システムでデータへのアクセス権を管理することも重要です。必要な情報に必要な人だけがアクセスできるようにすることで、悪意のある人間がデータを持ち出しにくくします。 

また、外部からの不審なアクセスを監視するためにログデータ収集も必要です。もし自前でアクセス解析が難しければIDS（不正侵入検知システム）、IPS（不正侵入防止システム）の検討もおすすめです。 

人的な対策とは、情報を取り扱う人間の行動を規定することです。基本的な施策としてはデータの持ち込み、持ち出しを制限することです。具体的にはUSBメモリなどの私物のデバイスは持ち込まないようにすることなどがあります。 

また、従業員に対してサイバーセキュリティに対する知識の啓蒙活動を定期的に行うことも重要です。いくらハードウェアやソフトウェアを整備しても、それを扱う人間のリテラシーが低ければ、思わぬ情報漏えいにつながるかもしれません。 

ほかには社内でサイバー攻撃を受けた場合のルール、OSやソフトウェアのアップデートルールを明確に規定してこれを徹底させます。

物理的な対策とは、オフィスのセキュリティや防災対策のことを指します。具体的にはオフィスの入退室管理、施錠管理を徹底するなどの対応が求められます。ほかには監視カメラ・防犯カメラの設置などで不審者の出入りをチェックすることも重要です。日本は地震大国ですのでビルの耐震強化なども対策に含まれます。 

サイバーセキュリティ対策がしたくてもできないという場合には、利用できる補助金があるかもしれません。たとえば、IPA（独立行政法人 情報処理推進機構）が実施している「サイバーセキュリティ対策促進助成金（外部）」があります。 

助成対象事業者は「SECURITY ACTIONの2段階目（二つ星）を宣言している都内の中小企業者」です。より細かい条件は公式サイトをご確認ください。 

しっかりしたサイバーセキュリティを構築するにはある程度の金額がかかります。しかしセキュリティ対策費をコストと考えるか、投資と考えるかで将来における売上は変化します。コストと考えるとどうしても削減したくなるためです。将来の売上を確保するための投資として考えることで、従業員の考え方や姿勢も変わってくるでしょう。 

サイバーセキュリティ対策を素早く導入したいのであれば『ISM CloudOne』などのパッケージサービスをおすすめします。世界55か国以上で利用されているクラウド型IT資産管理とセキュリティ対策が同時に行えるサービスで、技術的なセキュリティ強化が一気に推進できるでしょう。