サイバーセキュリティを理解する
学習の目的
この単元を完了すると、次のことができるようになります。
- サイバーセキュリティを定義し、なぜ重要なのか説明する。
- ハッカーが狙う情報の種類を挙げる。
- 攻撃対象領域を構成するアセットを特定する。
- 脆弱性、脅威、リスクを定義する。
個人レベルのサイバーセキュリティ
あなたが新築の家を購入したとします。いつの日かと夢に見てきたマイホームで、貴重な家宝や大切なものをしまっておく場所もあります。
引っ越しを終えた週末の翌月曜日、目を覚まし、コーヒーを淹れ、朝の日課を終えて出勤します。仕事に取り掛かろうとしたところで大変なことに気が付きました。玄関の鍵をかけ忘れたのです!
最悪の事態が頭をよぎります。大切な品々はどうなってしまうのでしょうか? 無事でしょうか? おそらく無理でしょう。
デジタルライフでも同じことが起こりえます。デジタルライフのドアに鍵を掛けなければ、貴重な情報の安全を確保することはできません。つまり、各人のサイバーセキュリティを管理して、サイバースペースにある自分の ID、アセット、テクノロジーを保護することが求められます。
個人データの侵害は広く蔓延している問題であり、残念なことに、何千もの人々が苦い経験に遭って初めてサイバーセキュリティの重要性を痛感しています。このようなインシデントが多発していることから、しっかりしたサイバーセキュリティ対策が緊急に必要とされています。侵害とは、ハッカーがコンピューターやデバイスの脆弱性を突いて侵入し、そのファイルやネットワークにアクセスすることです。私たちのデジタルフットプリントが拡大の一途をたどる中、侵害件数も増大していくものと思われます。そのため、私たちの全員が個人のサイバーセキュリティの基本的な知識を再確認しておく必要があります。
「誰が私など狙うのか?」と思うかもしれません。けれども、あなたにはあなたが思っている以上の価値があります。攻撃者が喉から手が出るほど欲しがっている膨大な情報を持っているためです! では、攻撃者が狙っている一般的な種類の情報を見ていきましょう。
情報の重要性を認識する
CIA (機密性、完全性、可用性) の 3 本柱は、重要な情報をハッカーから保護するためのサイバーセキュリティの基本概念です。ハッカーが探し求める情報、即ちあなたがセキュリティ保護すべき情報は次の 3 種類に大別されます。
個人識別情報 (PII)
あなたの ID や所在地を特定可能な情報で、氏名、住所、電話番号、生年月日、政府発行の個人識別番号、IP アドレスなどがこれに該当します。ハッカーがこうした情報を使用してあなたになりすますことや、ソーシャルエンジニアリングに使用して、通常は経済的利益を得るためにさらなる情報にアクセスしたりすることがあります。この情報を機密情報として保護する方法には、暗号化、アクセスコントロール、セキュアな通信プロトコルなどがあります。
個人の支払情報 (PPI)
支払情報の窃取は、ハッカーにとって手っ取り早く儲けることができる手段です。窃取されるリスクがあるのはクレジットカード番号だけではありません。サイバー犯罪者はデビットカード番号、オンラインバンキングのログイン情報、銀行口座番号、PIN 番号も狙っています。このデータが変更されていないという完全性を保証する方法には、ハッシュアルゴリズムやデジタル署名などがあります。
個人の健康情報 (PHI)
健康に関する記録から個人識別情報と健康データの両方が得られるため、健康情報はハッカーにとって特に貴重な情報の 1 つです。
デジタルエコシステムのあちこちにこうした情報を保存していることを思い出してぞっとしているかもしれませんが、心配はいりません。次のモジュールで、このすべてを安全に保管する実践的な方法をご紹介します。ここではまず、攻撃者がどこであなたのシステムやデータを狙っているのかから説明します。可用性の対策では、承認されたユーザーが必要なときにいつでもこのデータにアクセスできるようにします。可用性を保証するには、冗長システムとバックアップを使用します。
攻撃対象領域を理解する
攻撃対象領域とは何でしょうか? 私たちの環境で悪意のある人物にさらされている場所で、ここから攻撃者が私たちが保護すべき場所に侵入したり、価値あるものを盗み出したりします。住宅を例に考えてみます。不審者の侵入を防ぐために私たちは鍵を取り付けました。けれども、最初の泥棒によって鍵が破られた時点で、鍵が脆弱であることを認識しました。住宅にとって鍵は攻撃対象領域の 1 つでした。
私たちのデジタル環境はこの初期の住宅に極めてよく似ていますが、攻撃対象領域が鍵ではなく、コンピューターシステム、サーバー、モバイルデバイス、クラウドサービス、小売業者、ソーシャルネットワーク、ビジネスプラットフォームということになります。このすべてが、情報にアクセスしようとする攻撃者に悪用されるおそれがあります。
攻撃対象領域について理解しておくことは重要です。というのも、重要なアセットの脆弱性と、そうした脆弱性に付け込もうとする脅威を評価して、サイバーセキュリティのリスクの全体像を把握する出発点になるためです。検討すべき攻撃対象領域は次のカテゴリに分類されます。
ハードウェア
ハードウェアの攻撃対象領域として一目瞭然なのがコンピューター、スマートフォン、タブレットです。こうしたデバイス以外に、Wi-Fi ネットワーク、USB ポート、Bluetooth 接続など、ハードウェアのアクセスポイントも攻撃対象領域に該当します。
ソフトウェア
ソフトウェアは攻撃対象の中でも特に悪用されることが多い領域です。ソフトウェアの脆弱性を突いて侵入するために使用する悪質なアプリケーションやスクリプトも存在します。中には、システムにアクセスするためにユーザーを騙して偽のソフトウェアをダウンロードさせる攻撃者や、既存のプログラムのバグから侵入する攻撃者もいます。
人間
私たちのデジタル情報に多少なりともアクセス可能な友人、家族、小売業者、ビジネスパートナーも忘れてはなりません。こうした人々に悪意はないものの、ミスをすることがあり、その結果ソーシャルエンジニアリングに引っかかってあなたのデータが漏洩してしまう可能性があります。
攻撃対象のあらゆる領域を特定して評価したら、次にそうした領域に伴う脆弱性と脅威について検討する必要があります。アセット、その脆弱性、潜在的な脅威を検証すれば、サイバーリスクの全体像を把握することができます。では、見ていきましょう。
アセットとその脆弱性、脅威、リスク
自宅の大切な資産を守るために措置を講じるのと同様に、オンラインですべきことは、デジタルアセットを常時把握して、盗難や破壊されないようにすることです。ここで重要な点は、所有しているアセットの重要度を認識することです。アセットとはあなたにとって価値があるリソース、プロセス、製品、システムで、こうしたアセットが攻撃対象領域である場合には保護する必要があります。機密情報がどこに保存され、どこで処理されるのか、システムやアプリケーション間でデータがどのように転送や共有されるのかをきちんと理解しておく必要があります。このすべてを検討したら、次は、重要なアセットを侵害する目的で攻撃者が悪用するおそれのある脆弱性を特定します。
脆弱性とは情報システム、手順、コントロールに潜む弱点で、重要なアセットを侵害する目的で脅威の攻撃者が悪用するおそれがあります。たとえば、ソーシャルメディアと銀行口座に同じパスワードを使い回していれば、それが弱点となり、ハッカーに悪用される可能性があります。ハッカーが 1 つのアカウントのパスワードを手に入れれば、他のシステムにもアクセスできるためです。ベンダーが自社のアプリケーション、システム、コードに脆弱性を見つけ、セキュリティパッチをリリースすることは少なくありません。攻撃者がこうした脆弱性を突いてデータを侵害するのを防ぐために、パッチを遅滞なく適用してデバイスやソフトウェアを更新することが極めて重要です。
また、常にサイバー脅威の先手を打つ必要があります。脅威とは、組織のアセットに悪影響を及ぼす可能性がある自然または人為的な状況です。たとえば、サイバー犯罪者がマルウェア (コンピューターシステムに被害をもたらす悪意のあるソフトウェア) が仕組まれたフィッシングメール (信頼できる送信元を装って、標的とするグループに操作を実行させる悪意のあるメール) を配信し、サイバー犯罪者が個人情報が記載されたファイルに不正アクセスすることがあります。
ここで重要な点は、脅威は最も重要なアセットの脆弱性に付け込もうとするため、日頃からこの 3 つの要素 (脅威、脆弱性、アセット) のすべてを検討しておくことです。常に脅威の最新情報を把握していれば、敵の考えそうなことを予想できるようになり、どのようなものに価値を見出しているのか見当がつくようになります。
新しいサイバーリスクや脅威は日常的に発生しています。サイバーリスクとは、情報技術の不備に起因する金銭的な損失、機能障害、評判低下といったリスクのことです。たとえば、攻撃者があなたの銀行口座に不正にアクセスしてお金を盗んだ場合には、金銭的損失という形態のサイバーリスクが発生したことになります。
あなた個人のサイバーセキュリティを評価するときは、どの程度のリスクを受け入れるか慎重に検討します。あるアプリケーションをダウンロードすれば特定のタスクを簡単に実行できる、または楽しみが増えるかもしれませんが、セキュリティ面でどの程度の代償を払うことになるのかよく考えます。テクノロジーでどのようにデータが使用され保護されるのか、どのようなリスクを伴うのかを把握しておきます。特定のプログラムやテクノロジーを使用するリスクを認識すれば、自衛のための対策を講じることができます。
保護についての詳細は、「デジタルアセットのセキュリティ」モジュールでさらに詳しく学習します。ここでは、あなたのデータを狙っているかもしれない攻撃者とその手口について学習します。