セキュリティリスクの理解

学習の目的

この単元を完了すると、次のことができるようになります。

  • 会社に打撃を与えようとするサイバー犯罪の手口について説明する。
  • 侵入者に付け込まれやすい人間の行動を挙げる。
  • 情報にアクセスするために犯罪者が用いるごく一般的な手法について説明する。

従業員の安全な行動も安全なテクノロジに劣らず重要である

私生活でも仕事でも、私たちが 1 日中テクノロジを使用していることを考えれば、誰もがサイバー犯罪を懸念するのも当然と思われます。Verizon の「2021 年データ漏洩調査レポート」(サインアップが必要) では、マルウェアやハッキングから、ソーシャルエンジニアリングによるセキュリティ侵害、そしてランサムウェアまで、幅広いカテゴリのインシデントが計 157,525 件も報告されています。さらに、サイバー犯罪は進化を続けています。最近猛威を振るっている攻撃ベクトルの中には、テクノロジでなく、人々を標的にするものがあります。その一例がフィッシングです。2020 年のレポートによると、フィッシングは 2019 年最大の脅威ベクトルで、確認された侵害の 32%、サイバー諜報インシデントの 78% に関与していたということです。

脅威が複雑化していく中で、セキュリティチームがそうした脅威を防止、検知、分析、対処することが一層困難になっています。サイバー犯罪者の手口が、テクノロジを狙った攻撃から、従業員に狙いを定め、人間の基本的な行動に付け込む攻撃にシフトしています。セキュリティテクノロジが進歩すると、ハッカーがネットワークの最大の弱点からアクセスしようと企むようになり、人的ミスに狙いを定めることが少なくありません。そのため、このバッジのようなセキュリティトレーニングを実施することがこれまで以上に重要になっています。従業員がハッカーの恰好の標的になることから、従業員全員が自分自身、そして会社を守る術を身に着けておくことが極めて重要です。職務や役職に関係なく、社内の一人ひとりがセキュリティにかつてないほどの影響を及ぼします。

従業員の 1 人がフィッシングメールを開いたばかりに、連鎖的な手口が展開され、会社のデータが侵害されるおそれがあります。つまり、セキュリティは各人の業務に深く関与しています。このモジュールでは、会社の安全性を高めるために、各従業員が実践すべき基本的な行動をいくつか見ていきます。

侵入者は人間の行動に付け入る

では、サイバー犯罪がどのような形で人間の本質に付け込むのか見ていきましょう。犯罪者は、好奇心や他者を喜ばせたいという願望など、人間のごく自然な感情に付け込んでログイン情報を窃取したり、ネットワークに侵入したりできることを心得ています。こうした感情を誘発するメッセージの例を見てみましょう。 

  • 恐怖心:「情報を教えてくれなければ、あなたのことを上司に報告しますよ。」
  • 信頼:「あなたの銀行口座が解約されました。復活させる場合はここをクリックしてください。」
  • 良心:「オフィスのドアを押さえておいてもらえますか? 腕を骨折してしまったうえに、この荷物が重たくて...。」
  • 報奨:「弊社は御社の製品への投資を検討しています。差し当たり、御社に関するいくつかの質問にお答えただけますでしょうか?」
  • 協調性:「いつもは財務部門の Bill Stevens 氏に Q2 の収益の最新情報を聞いているのですが、あいにく連絡がつきません。報告書の作成に手を貸してもらえませんか?」
  • 好奇心:「これはすごい! 大蛇が飼育係を飲み込むこの動画を見てみて!」

ある人が信頼できると思っている相手とオンラインチャットしていますが、実際のところこの相手はハッカーです。

基本的な攻撃手段を察知する

ハッカーはさまざまな手口で標的に近づきます。以下は犯罪の出発点となるもので、サイバー犯罪者が人間の本質に付け込んで、機密性の高い情報やネットワークにアクセスする一般的なテクニックです。

  • フィッシング: 信頼できるエンティティになりすまし、ユーザ名とパスワード (ユーザログイン情報)、クレジットカードの詳細情報、銀行情報などの機密情報を入手しようとします。フィッシングにはいくつもの種類がありますが、ごく一般的な手法として、メールフィッシング、電話によるフィッシング (ビッシング)、テキストメッセージまたは SMS によるフィッシング (スミッシング)、高度なアクセス権を有するユーザを標的としたフィッシング (スピアフィッシング) などが挙げられます。
  • マルウェア: デバイスやネットワークにアクセスして破損またはコントロールすることを目的に、ユーザを騙してソフトウェア (マルウェア) をダウンロードさせます。マルウェアは通常、フィッシングメールのリンクや添付ファイルを介して配布されます。
  • ソーシャルエンジニアリング: 人々を巧みに操って、操作を実行させたり守秘情報を漏洩させたりします。
  • 公開情報の悪用: インターネット (ソーシャルメディアプラットフォームなど) に公開されている情報を利用して、ソーシャルエンジニアリング攻撃を設計したり、パスワードを解読したり、狙いを絞ったフィッシングメールを作成したりします。
  • バッジサーフィン: 正当なバッジ保有者の後に付いて入り込むか、話巧みにバッジ保有者に中に入れてもらうという方法で、セキュリティ保護された区域に侵入します。
  • 傍受: 内輪の会話を盗み聞きします。
  • ごみ箱あさり: リサイクルボックスやごみ箱から、適切に廃棄されていない機密情報を収集します。
  • 不正なデバイスのインストール: 悪意のあるソフトウェアが仕組まれたワイヤレスルータや USB サムドライブをインストールして、セキュリティ保護されたネットワークにアクセスします。

リソース

無料で学習を続けましょう!
続けるにはアカウントにサインアップしてください。
サインアップすると次のような機能が利用できるようになります。
  • 各自のキャリア目標に合わせてパーソナライズされたおすすめが表示される
  • ハンズオン Challenge やテストでスキルを練習できる
  • 進捗状況を追跡して上司と共有できる
  • メンターやキャリアチャンスと繋がることができる