本記事では、情報セキュリティを脅かすさまざまな脅威と、それを助長する脆弱性について整理しながら、人・技術・物理環境・組織といった観点から具体的な用語や代表的な対処法を分かりやすく解説します。
1. 情報セキュリティの脅威と対処の考え方
この章では、情報セキュリティにおける「脅威」とは何かを整理し、どのような考え方で対処していくのかを説明します。後の章で扱う具体的な用語を理解しやすくするための土台づくりだと考えてください。
情報セキュリティの脅威とは
情報セキュリティの脅威とは、情報資産に損害を与えるおそれのある要因のことです。攻撃者からの攻撃だけでなく、従業員の誤操作や地震・火災のような自然災害など、結果として情報が失われたり、盗まれたり、改ざんされたりするものはすべて脅威に含まれます。脅威が現実化して実際に被害が起きた状態を「セキュリティインシデント」と呼びます。
脅威は大きく、人の行動に関わる人的脅威、技術を悪用する技術的脅威、災害や破壊行為などの物理的脅威に分類できます。どの種類の脅威も、単独で現れることもあれば複合的に発生することもあり、企業は自分たちの業務にとってどの脅威が現実的かを考えながら対策を取る必要があります。
脅威への基本的な対処法の考え方
脅威への対処は、「起こらないようにする予防」「起きてもすぐ気付く検知」「被害を最小限に抑える復旧」という三つの観点で考えると整理しやすくなります。例えば、マルウェア対策ソフトを導入するのは予防と検知の両方に役立ち、バックアップを取っておくことは復旧のための対策になります。
また、どの脅威にどれだけのコストをかけるかを決めるために、「脅威 × 脆弱性 × 影響度」でリスクを評価する考え方も重要です。脅威そのものを消すことは難しくても、脆弱性を減らしたり、影響を小さくしたりすることで、結果としてリスクを下げることができます。後の章で説明する脆弱性の理解は、このリスク低減の観点から非常に重要な意味を持ちます。
2. セキュリティインシデントを招く脆弱性
この章では、セキュリティインシデントを引き起こしやすくする「脆弱性」について解説します。システムの欠陥だけでなく、組織内のルールや人の面での弱点も脆弱性として捉え、代表的な用語に触れながら理解していきます。
脆弱性の概要
脆弱性とは、脅威によって悪用されるおそれのある「弱点」「スキ」のことです。ソフトウェアの設計ミスや設定ミス、古いまま放置されたサーバなどは、攻撃者にとって入り込みやすい入口となります。一方で、パスワードを使い回している従業員や、ルールが整備されていない組織文化なども、攻撃を成功させやすくする意味で脆弱性と考えられます。
脅威そのものを完全になくすことは困難ですが、脆弱性を減らすことは企業の努力である程度可能です。ソフトウェアを最新の状態に保つ、アクセス権限を最小限にする、従業員教育を行うなどの取り組みは、いずれも脆弱性を小さくするための対策です。脆弱性が小さくなれば、たとえ脅威が存在しても、インシデントに至る可能性を抑えることができます。
バグ
バグとは、プログラムに潜む誤りや不具合のことです。単に画面表示が崩れるだけの軽微なものから、一定の条件でシステムが止まってしまうような重大なものまで、さまざまなレベルがあります。特に、認証やアクセス制御といったセキュリティに関わる部分にバグがあると、本来アクセスできない情報に侵入されてしまう危険があります。
バグを完全になくすことは難しいため、設計・開発・テストといった各工程で品質を高めることが重要です。また、発見されたバグに対しては、開発元から提供される修正プログラム(パッチ)を適切に適用することが求められます。利用者側がパッチを適用しないまま放置すると、そのバグはいつまでも脆弱性として残り続けることになります。
セキュリティホール
セキュリティホールとは、攻撃者に悪用されると深刻な被害につながる重大なセキュリティ上の欠陥を指します。例えば、特定の操作を行うだけで管理者権限を取れてしまうようなバグや、暗号化されるはずの通信が平文で送られてしまうような欠陥が該当します。このようなホールが公開されると、攻撃コードが次々と作られ、大規模な被害が発生することもあります。
対策としては、OSやアプリケーションを常に最新の状態に保ち、セキュリティホールを塞ぐパッチを早めに適用することが基本です。加えて、脆弱性診断ツールなどを使って自社システムに既知のセキュリティホールが残っていないかを定期的に確認することも有効です。外部公開しているサーバほど、こうしたチェックが重要になります。
人的脆弱性
人的脆弱性とは、人間の不注意や思い込み、知識不足などを突いて攻撃が成功してしまう状況を指します。強固な技術的対策をしていても、従業員が簡単なパスワードを設定していたり、怪しいメールの添付ファイルを安易に開いたりすれば、攻撃者にとっては容易に突破できる状態になります。ソーシャルエンジニアリングなど、多くの攻撃は人的脆弱性を前提として組み立てられています。
この脆弱性を減らすには、従業員教育とわかりやすいルール作りが欠かせません。単に禁止事項を列挙するのではなく、なぜそのルールが必要なのか、守らないとどのような被害が起きるのかを具体的な事例とともに伝えることが重要です。さらに、管理職が率先してルールを守る姿勢を示すことで、組織全体としてのセキュリティ意識を高めることができます。
シャドーIT
シャドーITとは、企業が正式に許可していないIT機器やクラウドサービスを、従業員が業務で勝手に利用してしまうことを指します。個人所有のスマートフォンで業務メールを転送したり、無料のオンラインストレージに社内資料をアップロードしたりするケースが典型例です。一見便利に見えますが、情報漏えいやマルウェア感染の大きな原因となり得ます。
対策としては、禁止するだけでなく、業務で必要とされる便利なツールを公式に用意し、利用ルールを整備することが大切です。なぜ特定のサービスの利用が危険なのかを説明し、代わりに安全なサービスを紹介することで、従業員にとっても現実的な選択肢を用意できます。定期的に利用状況をチェックし、見つかったシャドーITを洗い出して対処する取り組みも有効です。
3. 人的な脅威とヒューマンエラー
この章では、人の行動に起因する人的脅威について、代表的な種類と特徴を詳しく見ていきます。うっかりミスのような過失から、内部不正のような悪意のある行為まで、さまざまな形で情報セキュリティが脅かされることを理解しましょう。
人的脅威の全体像
人的脅威は、従業員や取引先など、人が関わることで発生する脅威の総称です。意図せずに発生する誤操作や紛失のようなものもあれば、内部不正やなりすましのように明確な悪意を伴うものも含まれます。外部からの攻撃であっても、ソーシャルエンジニアリングのように人の心理を利用する手口は人的脅威として考えられます。
これらの人的脅威は、技術だけでは完全に防ぐことができません。そのため、ルール整備や教育、業務プロセスの工夫などを通じて、人がミスや不正をしにくい環境を整えることが重要です。次の節から、具体的な用語ごとに代表的な事例と対処法を見ていきます。
漏えい
漏えいとは、本来外部に出してはいけない情報が、第三者に知られてしまうことです。意図的に持ち出される場合もあれば、誤ってメールの宛先を間違えたり、資料を置き忘れたりした結果として漏えいが起こる場合もあります。顧客情報や人事情報などが漏えいすると、企業の信用失墜や賠償問題に発展することも少なくありません。
対策としては、重要度に応じた情報の分類と、それに応じた取り扱いルールの徹底が基本となります。持ち出し可能な媒体を限定したり、メール送信時のダブルチェック機能を導入したりすることで、人的ミスによる漏えいリスクを減らすことができます。また、漏えいが発生した場合の報告手順を決めておくことで、被害を最小限に抑えることができます。
紛失
紛失とは、USBメモリやノートPC、紙の資料など、情報を記録した媒体をどこかに失ってしまうことです。カバンごと盗難に遭うケースや、電車の中に資料を置き忘れてしまうケースなど、日常のちょっとした油断が原因になることが多い脅威です。紛失した媒体に重要な情報が保存されていれば、漏えいと同じレベルの被害が生じる可能性があります。
紛失対策としては、まず「持ち出さない」工夫が重要です。業務上どうしても持ち出す必要がある場合は、暗号化やパスワード保護を施し、紛失しても第三者が中身を読めないようにします。加えて、持ち出しや返却を記録する仕組みを用意し、どの媒体がどこにあるのかを把握できる状態にしておくことも有効です。
破損
破損とは、ハードディスクやUSBメモリ、紙の資料などが物理的に壊れてしまい、情報が読めなくなったり、一部が失われたりすることです。落下や衝撃、水濡れ、経年劣化など、原因はさまざまです。破損が発生すると、重要なデータが復旧できなくなり、業務継続に大きな影響が出ることがあります。
破損による被害を軽減するためには、日頃からバックアップを取っておくことが最も有効です。同じデータを複数の場所に保存しておけば、一つが破損しても他から復元できます。また、機器の取り扱い方法や保管環境を見直し、落下しにくい配置にする、湿気や高温を避けるといった工夫も重要です。
盗み見
盗み見とは、第三者がこっそりと画面や書類をのぞき見して情報を得る行為です。電車やカフェなどの公共の場でノートPCを操作しているとき、隣の人から画面が丸見えになっている、といった状況が典型例です。IDやパスワード、顧客データなどが盗み見されると、その後の不正アクセスや情報漏えいにつながります。
対策としては、外出先では必要以上に画面を開かないようにすることや、のぞき見防止フィルターを利用することが挙げられます。会議室やオフィスのレイアウトを工夫し、来訪者から重要な画面が見えにくい配置にすることも効果的です。画面だけでなく、印刷物を机の上に放置しないといった日常の心がけも欠かせません。
盗聴
盗聴とは、電話や会議での会話、ネットワーク上の通信などを、第三者がひそかに聞き取ったり記録したりする行為です。Wi-Fiの暗号化が不十分な場合、同じネットワーク上にいる攻撃者に通信内容を読み取られてしまうことがあります。オンライン会議のIDやパスコードが漏れると、外部の人が会議に潜り込む可能性もあります。
盗聴対策としては、通信の暗号化が基本です。社外から社内ネットワークに接続する際にはVPNを利用したり、Wi-Fiには強力な暗号化方式と複雑なパスワードを設定したりする必要があります。会議室や電話の利用に関しても、機密度の高い内容は人の多い場所では話さないなど、物理的な盗聴リスクを意識した運用が重要です。
なりすまし
なりすましとは、他人になったふりをしてシステムやサービスを利用する行為です。他人のIDとパスワードを盗み取ってログインしたり、送信者を偽装したメールを送ったりするケースが代表例です。なりすましが成功すると、本人になりすました攻撃者が自由に情報へアクセスできてしまい、深刻な被害をもたらします。
対策としては、多要素認証の導入が効果的です。IDとパスワードだけでなく、ワンタイムパスワードやICカード、指紋などを組み合わせることで、情報が盗まれても簡単にはなりすましができなくなります。また、パスワードの使い回しを避け、定期的に変更することや、怪しいログイン通知に素早く対応することも重要です。
クラッキング
クラッキングとは、第三者が不正な目的でシステムやネットワークに侵入したり、データを改ざんしたりする行為です。一般に、悪意を持って行われるハッキング行為を指す言葉として使われます。クラッカーは、ソフトウェアの脆弱性や設定ミスを突いて侵入し、情報の盗難やサービス停止を引き起こします。
クラッキングへの対策としては、ファイアウォールや侵入検知システムの導入、不要なサービスやポートの停止などが挙げられます。加えて、ログを定期的に監視し、普段と異なるアクセスがないかを確認することも重要です。システムを公開する側は、常に「インターネットの向こうには攻撃者がいる」という前提で設計・運用を行う必要があります。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、人の心理的な隙や善意を利用して、情報を不正に入手する手口です。例えば、サポート担当者のふりをして電話をかけ、パスワードを聞き出すような方法が典型例です。技術的な対策をすり抜け、人に直接働きかけて情報を得るため、非常に厄介な脅威となります。
対策としては、「相手の言葉を鵜呑みにしない」という姿勢を組織全体で共有することが重要です。電話やメールでパスワードや認証コードを聞かれても教えない、身元確認ができない相手には情報を渡さない、といったルールを徹底します。また、実際に起きたソーシャルエンジニアリングの事例を教育に取り入れることで、従業員の警戒心を高めることができます。
内部不正
内部不正とは、従業員や元従業員、業務委託先など、組織内部の関係者が自らの権限を悪用して不正を行うことです。顧客情報の持ち出しや、不正なデータ改ざん、業務システムを利用した横領などが代表的な例です。内部の人はシステムの構造や運用ルールをよく知っているため、不正が行われると被害が大きくなりやすい特徴があります。
内部不正を防ぐには、権限を最小限に抑える「最小権限の原則」を徹底し、担当者一人だけで完結する業務を減らすことが重要です。アクセスログの記録と定期的な監査を行うことで、不自然な操作を早期に発見できる体制を整えます。さらに、相談窓口の設置や内部通報制度の整備により、不正を見つけた人が声を上げやすい環境を作ることも有効です。
誤操作
誤操作とは、本来意図していない操作を行ってしまうことで発生するミスのことです。削除するつもりのないファイルを消してしまったり、メールの宛先を間違えたりといったケースが代表例です。悪意はなくても、結果として重大な情報漏えいや業務停止につながることがあります。
誤操作対策としては、人に頼り過ぎない仕組みを作ることがポイントです。重要なデータを削除するときには確認画面を表示する、送信前に宛先を自動チェックする仕組みを導入するなど、システム側でミスを防ぐ工夫が有効です。また、操作手順をわかりやすくマニュアル化し、定期的に教育を行うことで、誤操作の発生確率を下げることができます。
ビジネスメール詐欺(BEC)
ビジネスメール詐欺(BEC)は、取引先や経営者になりすましたメールを送り、振込先の口座をだまし取るなどして金銭的な被害を与える詐欺手口です。実際の過去のメールの文面を盗み見て、文体や内容を真似ることで、受信者に疑われにくくするケースもあります。多額の送金指示が突然届いても、忙しい担当者がそのまま従ってしまうと大きな損失になります。
対策としては、送金や重要な取引の変更など、金銭に関わる指示がメールで届いた場合には、必ず電話など別の手段で確認するルールを定めることが重要です。メールアドレスの細かな違いに注意することや、英語のメールに不自然な点がないかを確認することも有効です。システム的には、なりすましメールを検出する仕組みの導入も検討できます。
二重脅迫(ダブルエクストーション)
二重脅迫(ダブルエクストーション)とは、主にランサムウェア攻撃で使われる手口で、データを暗号化して使用不能にするだけでなく、盗み出したデータを公開すると脅して金銭を要求する方法です。従来のランサムウェアは「復号キーが欲しければ支払え」という一段階の脅迫でしたが、二重脅迫では「バックアップがあっても、公開されたくなければ支払え」と二段構えになります。
この手口に対抗するには、バックアップだけでなく、情報そのものを盗まれないようにする防御がより重要になります。外部からの侵入経路を減らすことや、重要情報を暗号化して保存することに加え、侵入されたとしても内部で自由に動き回られないようネットワークを分割するなど、多層的な対策が求められます。支払いに応じてもデータが本当に削除される保証はないため、事前の防御と事後の対応計画が不可欠です。
ダークウェブ
ダークウェブとは、通常の検索エンジンからはアクセスできず、専用のソフトウェアを用いないと閲覧できないインターネット空間を指します。匿名性が高いため、違法な取引や盗まれた情報の売買などが行われる場として悪用されることがあります。漏えいした顧客情報や認証情報がダークウェブで売買されると、それを利用した二次被害が広がるおそれがあります。
企業にとっては、ダークウェブそのものを直接監視することは難しい場合も多いですが、自社のドメインやサービス名が出回っていないかを専門のサービスに依頼して調査することもあります。重要なのは、情報がダークウェブに流出しないよう、日頃から漏えい対策を徹底することです。もし流出が判明した場合には、パスワードのリセットや顧客への連絡など、被害拡大を防ぐための迅速な対応が求められます。
情報セキュリティポリシーに基づく情報の管理
情報セキュリティポリシーに基づく情報の管理とは、組織として定めたセキュリティに関する方針やルールに従って、情報を適切に扱うことを意味します。どの情報をどのレベルで保護するのか、誰がどの情報にアクセスできるのか、どのような手順で持ち出しや廃棄を行うのかといったルールを文書化し、全社員に周知します。これにより、個々の判断に頼らない、一貫した情報管理が可能になります。
人的脅威の多くは、明確なルールがなかったり、ルールが守られていなかったりすることで発生します。情報セキュリティポリシーを定めるだけでなく、定期的な教育や監査を通じて運用状況を確認し、必要に応じて内容を見直すことが大切です。ポリシーに基づく管理が根付けば、従業員は「何をしてはいけないか」だけでなく「どうすれば安全に業務ができるか」を理解しやすくなります。
4. 技術的な脅威とマルウェア
この章では、システムやネットワークの仕組みを悪用する技術的な脅威について解説します。特に、代表的なマルウェアの種類と特徴、そしてそれらがどのように攻撃に使われるかを理解していきます。
技術的脅威の全体像
技術的脅威とは、コンピュータやネットワーク、ソフトウェアの仕組みを利用して行われる攻撃や不正行為のことです。マルウェアの感染や不正アクセス、サービス妨害攻撃などが代表例で、いずれも技術的な手段を駆使して被害を引き起こします。攻撃者は、システムの脆弱性や設定ミスを突き、組織の情報資産に侵入しようとします。
これらの脅威に対抗するには、OSやソフトウェアを最新の状態に保つこと、セキュリティ製品を適切に導入することが基本となります。しかし、単にツールを入れるだけでなく、その仕組みや限界を理解し、ログ監視やネットワーク分割など複数の対策を組み合わせることが重要です。
マルウェア
マルウェアとは、「悪意のあるソフトウェア(malicious software)」の総称です。コンピュータウイルスやワーム、トロイの木馬、ランサムウェアなど、さまざまな種類があり、それぞれ異なる手口で感染・拡散・被害発生を行います。利用者に気付かれないようにバックグラウンドで動作し、情報を外部に送信したり、他の機器に感染を広げたりします。
マルウェア対策としては、ウイルス対策ソフトの導入と定義ファイルの更新が基本です。加えて、怪しい添付ファイルやリンクを開かない、未知のUSBメモリを安易に接続しないといった利用者側の注意も欠かせません。後述の各マルウェアの特徴を理解することで、どのような行動が危険なのかをより具体的にイメージできます。
コンピュータウイルス
コンピュータウイルスは、自身をコピーして他のプログラムやファイルに寄生し、拡散していくマルウェアの一種です。感染すると、ファイルを破壊したり、勝手にメールを送信したり、システムを不安定にしたりするなど、さまざまな悪影響を及ぼします。名前の通り、生物のウイルスのように増殖する性質を持っています。
対策としては、ウイルス対策ソフトを導入し、リアルタイムスキャンや定期的なフルスキャンを行うことが重要です。また、出所の不明なソフトウェアをインストールしない、信頼できないサイトからファイルをダウンロードしないといった基本的なルールを守ることで、感染リスクを大幅に減らすことができます。
ボット
ボットは、感染したコンピュータを遠隔操作可能な状態にし、攻撃者の命令に従って動作させるマルウェアです。攻撃者は多数のボットを集めて「ボットネット」を形成し、一斉にDDoS攻撃を仕掛けたり、スパムメールを大量送信したりします。感染した利用者は、自分のPCが攻撃の踏み台にされていることに気付かないことが多くあります。
ボット対策としては、ウイルス対策ソフトでの検出に加え、外部との不審な通信を監視する仕組みが有効です。社内ネットワークで突然大量の送信トラフィックが発生していないかをチェックすることで、ボット感染の兆候を早期に見つけられる場合があります。また、OSやブラウザの脆弱性を悪用して感染するケースが多いため、更新プログラムの適用も重要です。
スパイウェア
スパイウェアは、利用者に気付かれないようにインストールされ、入力した情報や閲覧履歴などを外部に送信するマルウェアです。キーボード入力を記録してIDやパスワードを盗み取るタイプや、どのサイトを見ているかを監視するタイプなどがあります。場合によっては、画面のスクリーンショットを定期的に送信するものも存在します。
対策としては、ソフトウェアをインストールする際に信頼できる配布元かどうかを確認することが大切です。フリーソフトにスパイウェアが抱き合わせで入っているケースもあるため、必要のないソフトをむやみに入れないこともポイントです。セキュリティソフトの中にはスパイウェア専用の検出機能を備えたものもあるため、活用するとよいでしょう。
ランサムウェア
ランサムウェアは、感染したコンピュータ内のデータを暗号化し、元に戻す代わりに身代金(ランサム)を要求するマルウェアです。業務で使用しているファイルがすべて暗号化されてしまうと、業務継続が困難になり、企業にとって非常に深刻な脅威となります。最近では前述の二重脅迫と組み合わせた手口も増えています。
対策としては、まずバックアップを確実に取っておき、暗号化されても別の場所からデータを戻せるようにすることが重要です。また、ランサムウェアの多くはメールの添付ファイルや不審なサイト経由で侵入するため、利用者教育とメールフィルタリングの強化も効果的です。OSやアプリケーションを最新状態に保ち、既知の脆弱性を塞いでおくことも欠かせません。
ファイルレスマルウェア
ファイルレスマルウェアは、ディスク上に明確なファイルを残さず、メモリ上で動作するタイプのマルウェアです。従来のウイルス対策ソフトはファイルを検査する仕組みが中心のため、ファイルレスマルウェアは検出されにくい特徴があります。正規のツールやスクリプト機能を悪用して動作するケースも多く見られます。
対策としては、挙動ベースで不審な動きを検出できるセキュリティソフトを利用することが有効です。また、不要なスクリプト機能や管理ツールを無効化し、管理者権限を持つアカウントを最小限にすることで、ファイルレスマルウェアが悪用できる余地を減らすことができます。ログを詳細に記録し、異常な操作がないかを監視することも重要です。
ワーム
ワームは、自身をコピーしてネットワーク上の他のコンピュータに次々と感染を広げるマルウェアです。ユーザーの操作なしに自動で拡散するものも多く、大量のトラフィックを発生させてネットワークを麻痺させることがあります。過去には、世界規模で大きな被害をもたらしたワームも存在します。
ワーム対策では、ネットワークの境界にファイアウォールを設置し、不要な通信を遮断することが重要です。また、ワームは特定の脆弱性を悪用して拡散することが多いため、OSや各種ソフトウェアの更新プログラムを適切に適用することが有効です。感染が発覚した場合には、ネットワークから切り離して拡散を防ぐなど、迅速な対応が求められます。
トロイの木馬
トロイの木馬は、一見すると有用なソフトウェアや無害なファイルに見せかけて、中に悪意のある機能を潜ませたマルウェアです。利用者が自らインストールしたり開いたりすることで侵入し、その後バックドアを作ったり、情報を盗み出したりします。名前の由来は、古代ギリシャのトロイ戦争のエピソードです。
対策としては、正規の配布元から入手したソフトウェアだけを利用することが基本です。メールで送られてきたプログラムや、怪しいサイトで配布されているツールは、たとえ便利そうに見えても安易に実行すべきではありません。セキュリティソフトでダウンロードファイルを自動的にスキャンする設定にしておくことも有効です。
RAT
RAT(Remote Access Trojan)は、遠隔操作用のトロイの木馬です。攻撃者はRATに感染させたPCに対して、キーボードやマウスの操作、ファイルの送受信、画面の閲覧などを自由に行えるようになります。これにより、内部の機密情報を盗み出したり、さらに別の攻撃の足掛かりにしたりすることができます。
RAT対策としては、不審な通信を監視し、外部の知らないサーバへの接続がないかをチェックすることが重要です。また、メール添付やダウンロードファイルから侵入するケースが多いため、前述のトロイの木馬と同様に、ソフトウェアの入手元を厳しく確認する必要があります。万一感染が疑われる場合には、ネットワークから切り離して調査を行うことが求められます。
マクロウイルス
マクロウイルスは、WordやExcelなどのマクロ機能を悪用して作られたウイルスです。文書ファイルを開くだけでマクロが実行され、他の文書に感染を広げたり、不正な操作を行ったりします。見た目は普通の業務文書に見えるため、利用者が疑いなく開いてしまいやすい点が特徴です。
対策としては、マクロを含むファイルを開く際に警告を表示し、信頼できる送信元からのファイル以外ではマクロを有効にしない運用が有効です。企業によっては、業務上マクロを使用しない場合、マクロ機能自体を無効化してしまう方法もあります。メールで受け取る添付ファイルには特に注意を払い、不要なファイルは開かないことが重要です。
キーロガー
キーロガーは、キーボードの入力内容を記録するマルウェアです。攻撃者はキーロガーを通じて、IDやパスワード、クレジットカード番号などを盗み取ります。利用者は通常の操作をしているだけなので、気付かないうちに重要な情報が外部に送信されていることになります。
対策としては、スパイウェア対策機能を備えたセキュリティソフトを利用することが有効です。また、IDやパスワードの入力を求めるサイトでは、ブラウザのアドレスバーを確認し、正しいサイトかどうかを見極めることも重要です。公共のPCや信頼できない端末では、重要な情報の入力を避けるべきです。
バックドア
バックドアとは、本来想定されていない裏口のようなアクセス経路を指し、攻撃者が侵入した後にこっそり設置することが多い仕組みです。バックドアが設置されると、攻撃者はいつでもシステムに戻ってこれるようになり、継続的に悪意ある活動を行うことができます。開発者が故意にバックドアを仕込んでしまうケースも、理論上は存在します。
バックドア対策としては、OSやアプリケーションのファイルが勝手に変更されていないかを監視することが効果的です。侵入が発覚した際には、バックドアが残っていないかを専門家の協力も得ながら徹底的に調査し、必要であればシステムをクリーンな状態から再構築することも検討します。ログの分析により、通常とは異なる通信がないかを確認することも重要です。
ファイル交換ソフトウェア
ファイル交換ソフトウェアは、本来は利用者同士がファイルを共有するためのツールですが、著作権侵害やマルウェアの拡散に悪用されることが多くあります。誰がアップロードしたかわからないファイルを多数の人がダウンロードするため、マルウェアが紛れ込んでいても気付きにくいという問題があります。業務用PCにインストールされると、情報漏えいや著作権侵害のリスクが一気に高まります。
企業では、業務で必要のないファイル交換ソフトウェアの利用を禁止することが一般的です。ネットワーク上でこの種の通信を検知し、利用を制限する仕組みを導入することもあります。安全なファイル共有が必要な場合は、公式に承認されたクラウドストレージや社内システムを利用するようルール化することが重要です。
迷惑メール(スパム)
迷惑メール(スパム)は、大量に送信される不要なメールのことです。広告目的のものから、フィッシングやマルウェア拡散を目的としたものまで内容はさまざまですが、いずれも受信者にとっては業務の妨げとなります。メールボックスがスパムであふれると、大事なメールの見落としにつながるだけでなく、悪意あるリンクや添付ファイルを誤って開いてしまうリスクも高まります。
対策としては、メールサーバ側でスパムフィルタを設定し、明らかに不要なメールを自動的に振り分けることが基本です。利用者側も、見覚えのない送信元や不自然な件名のメールは開かない、本文中のリンクを安易にクリックしないといった心構えが必要です。また、業務用メールアドレスを公開する範囲を必要最小限にすることも、スパムの量を減らすのに役立ちます。
5. 物理的な脅威と環境リスク
この章では、技術だけでは防ぎきれない、物理的な脅威について解説します。災害や破壊行為といった現実世界の出来事が、どのように情報資産に影響を与えるのかを理解しておきましょう。
物理的脅威の全体像
物理的脅威とは、建物や機器といった物理的な対象に直接損害を与える要因のことです。地震や火災、洪水などの自然災害から、盗難や破壊行為のような人為的なものまで含まれます。システムやデータがどれだけ堅牢でも、それを動かす機器が壊れてしまえば情報セキュリティは保てません。
物理的脅威への対策は、施設の選定や設備投資といった経営判断にも関わります。データセンタをどこに置くか、どのような防災設備を整えるかなど、長期的な視点で検討する必要があります。クラウドサービスを利用する場合も、サービス提供者側の物理的な対策状況を確認しておくことが大切です。
災害
災害には、地震・津波・台風・洪水・火災など、さまざまな種類があります。これらの災害が発生すると、サーバや通信設備が壊れたり、オフィスが使えなくなったりして、システム停止やデータ喪失の危険が生じます。停電が長引くことで、バックアップ装置も含めて利用できなくなるケースも考えられます。
災害対策としては、データのバックアップを遠隔地に保管する「オフサイトバックアップ」が重要です。一つの拠点が被災しても、別の場所で業務を再開できるように、代替拠点やクラウド環境を準備しておくことも有効です。さらに、事業継続計画(BCP)を策定し、災害時に誰が何をするのかを事前に決めておくことで、混乱を抑えて復旧を早めることができます。
破壊
破壊とは、設備や機器が意図的または偶発的に壊されてしまうことを指します。外部からの侵入者がサーバ室に入り込み、機器を物理的に壊してしまうようなケースもあれば、工事中のミスでケーブルを切断してしまうようなケースもあります。どちらの場合も、システム停止やデータ喪失といった深刻な影響をもたらします。
破壊行為への対策としては、サーバ室や重要設備への入退室管理が基本です。カード認証や生体認証を用いて、限られた人だけが入室できるようにするとともに、監視カメラで記録を残します。また、重要なケーブルや機器は、誤って触れられないように配線ルートや設置場所を工夫し、ラベル表示を徹底することも大切です。
妨害行為
妨害行為とは、設備を壊すほどではないものの、業務やシステムの正常な運用を邪魔する行為を指します。例えば、サーバ室のドアを故意に開けっぱなしにして温度を上げる、勝手に電源ケーブルを抜く、機器の設定をこっそり変更するといった行動が該当します。こうした行為が続くと、システムトラブルの原因が分かりにくくなり、対処に時間を要してしまいます。
対策としては、物理的な設備の取り扱いに関するルールを明確にし、誰がどの機器に触れてよいのかを定めておくことが重要です。設定変更や機器の電源操作を行った際には、必ず記録を残す運用にすることで、問題が発生したときに原因をさかのぼりやすくなります。悪意ある妨害行為が疑われる場合には、ログや監視カメラの映像をもとに、適切な対応を検討する必要があります。
6. 不正のメカニズムと内部不正防止
この章では、不正行為がどのような要因で生まれるのかというメカニズムを整理し、特に内部不正による情報セキュリティ事故を防ぐための考え方を学びます。単に「不正は悪い」とするだけでなく、なぜ起きるのかを理解することがポイントです。
不正のメカニズムとは
不正のメカニズムとは、人が不正行為に手を染めてしまうまでの心理的・環境的なプロセスを指します。多くの場合、不正は突然思いつきで行われるのではなく、職場環境や個人の状況、組織文化などが複雑に絡み合って発生します。特に、内部不正は長期間にわたって少しずつ行われることも多く、早期発見が難しい特徴があります。
このメカニズムを理解することで、「性格の問題」として片付けるのではなく、組織としてどのような環境を整えれば不正が起きにくくなるのかを考えられるようになります。次の節で紹介する「不正のトライアングル」は、その代表的な考え方です。
不正のトライアングル(機会、動機、正当化)
不正のトライアングルとは、不正が発生する要因を「機会」「動機」「正当化」という三つの要素で説明するモデルです。機会とは、不正ができてしまう環境や仕組みのことを指し、チェック体制が甘い、権限が集中しているなどが該当します。動機とは、借金や不満、成績プレッシャーなど、不正をしたくなる心理的な理由です。正当化とは、「みんなやっている」「自分は損害を与えていない」など、自分の行為を心の中で正しいと納得させてしまう考え方です。
内部不正を防ぐには、この三つの要素をそれぞれ弱めることが重要です。機会を減らすためには、職務分掌や権限管理、監査の強化などが有効です。動機を減らすには、公平な人事評価や相談しやすい職場づくりが役立ちます。正当化を防ぐには、倫理教育や経営層によるコンプライアンス重視のメッセージ発信が重要です。三角形のどれか一つでも小さくできれば、不正の発生確率を大きく下げることができます。
まとめ
脅威と脆弱性は、情報セキュリティを理解するうえで欠かせないキーワードです。脅威は外部・内部を問わず常に存在しており、これを完全になくすことはできません。一方で、脆弱性は組織の努力によって減らすことができ、両者が組み合わさることでセキュリティインシデントが発生するという構図を押さえておくことが重要です。
人的・技術的・物理的な脅威は、それぞれ性質が異なりますが、共通して「基本を守る」ことが最大の防御となります。人に関わる部分では、誤操作や内部不正を減らすルールと教育が欠かせません。技術面では、マルウェアに代表される攻撃手法の特徴を理解し、更新と多層防御を徹底することがポイントです。物理的な面では、災害や破壊行為を前提としたバックアップや設備計画が必要になります。
不正のトライアングルに象徴されるように、情報セキュリティの問題は技術だけでなく、人と組織の問題でもあります。自分の職場にはどのような脅威や脆弱性があり、どの要素を弱めればリスクを下げられるのかを考えてみることで、学んだ知識を現場に結び付けやすくなります。基礎概念と代表的な用語をしっかり理解し、日々の業務の中で「これは脅威ではないか」「ここに脆弱性はないか」と意識することが、実践的なセキュリティ対策への第一歩です。
コメント