はじめての方はご登録ください(無料)会員登録
search

2018年11月7日(水)更新

サイバーセキュリティ

「サイバーセキュリティ」とは、国や企業・個人などに対して向けられるサイバー空間上からの攻撃に対する防御のことを指します。経済産業省はサイバー攻撃の増加に伴い「サイバーセキュリティ経営ガイドライン」を策定し、その中で経営課題として明示しました。今回はそんなサイバーセキュリティの定義と抑えておくべきポイントについて解説します。

サイバーセキュリティ に関するビジネス事例や製品の情報を受取る

サイバーセキュリティとは

サイバーセキュリティの定義は、 サイバーセキュリティ基本法第二条によると、

この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。
【引用】サイバーセキュリティ基本法/e-Gov電子政府の総合窓口

と定義されています。 しかしこれだけでは具体性をもって理解することは困難です。そのため今回はその意味を解説するとともに、サイバーセキュリティにまつわる現状と、「情報セキュリティ」との違いについてご紹介します。

サイバーセキュリティの定義

まず、サイバーセキュリティ基本法第二条での定義を読み取っていくと、

  • デジタル的な方式で読み取った情報が、「漏洩」「滅失」「毀損」などの安全管理のために必要な措置がなされていること。
  • 情報システム・ネットワークの安全性と信頼性の確保のために必要な措置が講じられて維持管理されていること。

この2点の要件を満たしていることであるといえます。

また、「サイバーセキュリティ経営ガイドライン」 中では、

  • サイバーセキュリティとは、電子データの漏えい・改ざん等や、期待されていた IT システムや制御システム等の機能が果たされないといった不具合が生じないようにすること。

であるとしています。

これらから読み取るに、サイバーセキュリティとは、

  • あらゆるデジタルデータが漏洩、改ざんなどの危機にさらされないように安全管理を果たすこと
  • ITシステムが安全かつ信頼しうる状態で機能し、維持管理されていること

であるといえます。

【参考】サイバーセキュリティ経営ガイドライン2.0/経済産業省 独立行政法人 情報処理推進機構

サイバーセキュリティの現状

日本におけるサイバーセキュリティは、2014年11月にサイバーセキュリティ基本法が成立したことから本格的に始まりました。

同法律により、2015年1月、内閣に「サイバーセキュリティ戦略本部」、内閣官房に「内閣サイバーセキュリティセンター」が設置されました。

これらのことから、ここ5年以内で政府がサイバーセキュリティに取り組む重要性を認識したといえます。

その内閣サイバーセキュリティセンターが平成28年度に行った調査では、「有価証券報告書における事業等のリスク」項目に「サイバーセキュリティ」を記載した企業の割合は年々増加し、平成27年には67%もの企業が掲載しています。

平成28年度 企業のサイバーセキュリティ対策に 関する調査(概要)を基に作成

また、同調査のアンケートでは、「事業部門におけるサイバーセキュリティ人材の不足」の項目に対し、「不足している」と答えた企業が過半数に上り、サイバーセキュリティは現在、国としても企業としても取り組むべき課題であるといえます。

情報セキュリティとの違い

サイバーセキュリティとよく似た言葉に、情報セキュリティという言葉があります。
混同しやすい二つの言葉ですが、どのような点が異なるのでしょうか。

この2つの言葉は、包含関係にある言葉です。
「サイバーセキュリティ」という言葉は、サイバー空間のみに対してのセキュリティであることに対して、「情報セキュリティ」という言葉は、サイバー空間のみならず、すべての情報に対するセキュリティを意味しています。

これは情報セキュリティマネジメントシステムの管理基準「JIS Q 27002(ISO/IEC 27002)」中で、「情報セキュリティとは情報の機密性・完全性・可用性を維持すること」とされており、「情報」であればサイバー空間であるかを問いませんが、サイバーセキュリティはサイバー空間上の情報に限っています。

つまり、扱う情報がサイバー空間上かそうでないかが、情報セキュリティとサイバーセキュリティの大きな違いということになります。

【参考】JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範

サイバーセキュリティにかかるリスク

企業としても、国家としても重要な課題であるサイバーセキュリティ、ではサイバーセキュリティにおけるリスクとはどういったものなのでしょうか。

セキュリティ対策ソフト、「ノートン」を提供するシマンテックが行った2017年に行った調査では、調査対象20か国において、ネット犯罪の被害者総数は9億7,800万人にのぼりました。日本においては1,774万人で、その損失額は約2,289億円となっています。

年々被害の増加しているサイバー攻撃ですが、具体的にどのような被害のケースが考えられるのでしょうか。

東京海上日動によると、サイバー攻撃には大別すると以下4種類のケースが考慮することができるといいます。

①情報漏洩リスク

サイバー攻撃を受けると、顧客情報や会社の内部情報などの漏洩が発生してしまうケースがあります。

その影響で大きな損失を被る場合や、様々な情報を適切に管理できていないとして訴訟問題に発展する可能性もあります。

②事業阻害リスク

サイバー攻撃によって社内の重要なITシステムの基盤がダウンし、その影響で一時的に事業が停止してしまうケースも存在します。

また重要なデータの改ざんなどが行われると、システムの復旧に時間がかかりその分損失も大きくなります。

③賠償責任リスク

企業が有料サービスなどを提供している中でサイバー攻撃を受け、そのサービスを顧客に提供できなくなってしまった場合、企業側は顧客に対するサービス停止の賠償責任を問われる場合があります。

④風評リスク

ここまで紹介した3三つのリスクは実質的な被害ですが、目に見えない被害として風評被害が挙げられます。
上記の被害を被った場合、それらに対するセキュリティ対策の甘さなどが報道され、企業の信用を損なうことがあります。

結果として企業価値を下げ、顧客の喪失にも繋がりかねません。

【参考】サイバーリスク保険/東京海上日動
【参考】過去1年間のネット犯罪被害者数は20ヶ国で9億7,800万人に ネット犯罪の被害にかかわる損失額は総額約18兆7,480億円に

サイバー攻撃とは?

これまでも記事中で使用してきた「サイバー攻撃」という言葉ですが、抽象的なイメージはつかめても、具体的な攻撃内容はつかみにくいものです。

ここでは、その目的や主な攻撃方法をご紹介します。

サイバー攻撃の目的

サイバー攻撃の目的にはいくつかの種類があり、主体によって様々です。
しかしどの場合も共通して金銭の盗取があげられます。他にも国家や企業を相手にした場合、それらのイメージダウンや、スパイ活動などが目的の場合もあります。

またこれらに当てはまらない愉快犯的な場合と、政治的主張を目的としている場合もあるので、自分はどのような攻撃者から対象とされやすいのかを見極めることが必要です。

攻撃の種類

サイバー攻撃に使われる手段のうち一部をご紹介します。 サイバー攻撃には種類が多いため、すべてを網羅していない点をご了承ください。

標的型攻撃

標的型攻撃とは、その名の通り特定の組織や個人を対象とした攻撃です。
有害ファイルを添付したメールやデータを送付することで、対象の端末をマルウェアなどに感染させます。

ランサムウェア

ランサムウェアとは、ユーザーのデータを人質にとることで身代金(ランサム) を要求するソフトウェアのことです。
ユーザーは攻撃者に対し身代金を払うまでアクセスが不可能になる場合や、警告が表示されるなどの被害を受けます。

クリックジャッキング

Webブラウザなどを悪用して行われる攻撃の一つがクリックジャッキングです。
悪意ある動作をするボタンを透明化した上に通常のリンクボタンなどをかぶせることでクリックを誘い、ミスクリックによってウィルス感染などを狙う手口です。

DoS攻撃/DDoS攻撃

DoS/DDoS攻撃とは、ターゲットのサーバーやサイトに対して大量のデータを送り付ける攻撃方法です。 攻撃を受けた場合、大量の負荷がかかることでダウンしてしまい、一時的にサービスが停止してしまします。

ゼロデイ攻撃

ゼロデイ攻撃とは、サービスに見つかったセキュリティホール(セキュリティ上の欠点)を見つけた攻撃者が、開発元がその欠点を修正する前に攻撃を仕掛ける方法です。

システムのアップデートを定期的にチェックするなどの対応策が必須です。

サイバーセキュリティの基本対応

ここまでサイバーセキュリティについて紹介してきましたが、企業はまずどのような対応をするべきなのでしょうか。
すぐに実践できるセキュリティ対策3選をご紹介します。

技術的な対策

技術的な対策とは、ウィルスソフトの導入などを指します。攻撃者が送ってきたウィルスをはじくソフトを導入することは、セキュリティ対策の基本です。

同時に、OSや様々なサービスのアップデート情報をチェックしておくことも対策につながります。

物理的な対策

物理的な対策とは、サイバー空間外でのセキュリティ対策方法です。

オフィスへの立ち入りの制限や、認可されていないUSBメモリ等周辺機器の使用を禁止するなどの方法があります。

人的な対策

高度なセキュリティ対策には、専門知識のある人間が必要になります。そのためセキュリティ人材を雇用してセキュリティの統括を行う部署を設けることも必要です。

同時に、社内向けにコンプライアンスを徹底させるなど、心理面からのアプローチも有効です。

まとめ

  • サイバーセキュリティとは「あらゆるデジタルデータが漏洩、改ざんなどの危機にさらされないように安全管理を果たすこと」「ITシステムが安全かつ信頼しうる状態で機能し、維持管理されていること」である。
  • サイバーセキュリティをリスクだと認知する経営者は年々増加している。
  • サイバーセキュリティに脅威をもたらす攻撃方法には様々な種類がある。

注目のビジネス事例トピックを、逃さずチェック。

大手やベンチャー含め計180,000人以上の会員が利用しています。

BizHint の会員になるとできること

  • 事業運営のキーワードが把握できる
  • 課題解決の事例や資料が読める
  • 厳選されたニュースが毎日届く
  • アプリで効率的に情報収集できる
いますぐ無料会員登録

サイバーセキュリティの関連キーワードをフォロー

をクリックすると、キーワードをフォローすることができます。

キーワードフォローの使い方

ビジネス事例や製品の情報を受取る

フォローしたキーワードの最新トピックをトップページに表示します。 フォローはでいつでも変更することができます。
フォローを管理する

目次