サイバーセキュリティとネットワークセキュリティとは?

内部脅威マネジメントとサイバーセキュリティツール (E-Book)

サイバーセキュリティとネットワークセキュリティの定義

サイバーとは、「コンピュータネットワークに属する/利用する」という意味の英語です。代わりに「安心」は「安全」を意味します。全体の言葉をまとめてサイバーセキュリティとは、人、データ、そしてインフラなど広範囲に影響が及ぶサイバー攻撃から守るためのテクノロジー、サービス、戦略、社員教育、ポリシーの組み合わせから成ります。ハードウェアやソフトウェア、サービスなどの産業1では、会社組織、従業員、顧客、その他の関係者を保護するために1,240億ドルを投入しています。

ネットワークセキュリティとは、ネットワークコンポーネントに焦点を当てたサイバーセキュリティの一種です。ネットワークコンポーネントは、サーバー、ルーター、デバイス、データ回線など、ネットワークの異なる箇所とつながり、データのやりとりを行います。

サイバーセキュリティは、製造、流通、マーケティング、財務、人事などと同様に、事業の支柱になりつつあります。あとから付け足せばいいというものではありません。企業が成功するか否かは、社員が作成したデータや信頼できるプラットフォームをどれだけ適切に保護できるかにかかっています。

長年、サイバーセキュリティは外部からの攻撃に対して、社内ネットワークと外部の境界線を守ることに注力してきました。しかし、ほとんどの企業では、その境界線が消えかけています。

労働環境がリモートに切り替わり、誰もが個人のデバイスを仕事に使用します。重要基盤やデータはクラウド上にあります。だからこそ、サイバー攻撃者は、技術的な脆弱性から、人的な脆弱性へと攻撃対象を移し変えました。すなわち、現在の標的は「人」です。
つまり企業は、「人」を中心としたアプローチでサイバーセキュリティに取り組まなければなりません。

サイバーセキュリティの歴史

サイバー攻撃の歴史には、インターネットの歴史が反映されています。最初のコンピュータウイルスは、1970年代のはじめに生み出され、インターネットの前身である米国のAPPANETで見つかりました。

注目を集めたサイバー攻撃

サイバー攻撃を受けたテクノロジー企業に注目が集まった事例には、2013〜2014年、Yahoo社の情報漏洩があります。Yahooユーザー130億人の名前、パスワード、その他のデータを含む、個人情報が危険にさらされました。Yahooはこの事実を2016年まで明らかにしなかったため、米国証券取引委員会 (SEC) から3,500万ドルの罰金が課せられました。
また、元CIAエドワード・スノーデンは、政府の請負業者と米国国家安全保障局でコピーした機密情報を暴露したことで、2015年、米国全土に名前が知れ渡りました。

2017年の WannaCry 事件は、最初のランサムウェア攻撃として認知されています。150ヶ国で、Windowsコンピュータ23万台をターゲットにした「cryptoworm」は、パソコンを解放するための身代金をビットコインで支払うように要求しました。そのすぐ後には、「NotPetya」が電力会社、銀行、政府機関の12,500台のWindowsコンピュータを攻撃しました。このNotPetyaは、出現当時にはただのランサムウェアでしたが、重要なインフラにダメージを与えるための国家単位の攻撃であったのではないかと疑われています。

2017年に起こった、米国の信用情報機関「Equifax」の情報漏洩では、推定1億4,300万人のアメリカ人が所持する約20万枚のクレジットカード情報が危険にさらされました。2
ここで例に挙げたのは、話題になった攻撃のごく一部です。数えきれないほどの攻撃によって金銭が巻き上げられ、貴重なデータが盗まれ、重要なシステムがダメージを受けています。そこには騙された被害者がいますが、多くは耳にすることすらありません。

何十年もかけて、サイバーセキュリティは手法を変えながら、攻撃を防ごうと試みてきました。抑止力としてのサイバーセキュリティは、3つの時代に分けられます。アクセスコントロール時代、検出時代、現在の「人」の時代です。

アクセスコントロール時代におけるサイバーセキュリティ

当初はコンピューティングや情報から電子資金に至るまで、すべてがデジタルで保護しやすい時期でした。言うなれば、ただドアに鍵をかけるだけのことでした。これを、アクセスコントロール時代と呼びます。
ただし、すべてがネットワークにつながっています。ネットワーク上のすべては、最終的にはインターネットとつながります。アクセスを遮断することは、現実的ではありません。そこで、単にドアに鍵をかける手法に替わり、策を練らなければなりません。そこへ検出時代が訪れます。

検出時代におけるサイバーセキュリティ

検出時代では、ウイルスやワームを見つけることがすべてです。アンチウイルスツール、侵入検知・予防システム(IDSやIPS)などで捕らえます。そして、情報漏洩対策 (DLP) のようなツールによるアクティブログでコンプライアンス問題が明らかになりました。これにより、新たに「アラート疲労」や「コンプライアンス経費」といった一連の課題が生まれました。
この時代においては、システムの脆弱性に対するパッチ適用、ネットワーク境界線の保護、エンドポイントの管理など企業のインフラを強化することに注力してきました。

「人」の時代におけるサイバーセキュリティ

インフラストラクチャーを クラウドに移行するにつれて、防衛すべき境界線は存在しなくなっています。同時に、攻撃者は標的を企業のインフラから人へと変えました。

そのため、現在のサイバーセキュリティのすべては「人」への対策にあります。人々のデジタル意識、ソーシャルエンジニアリングへの反応、攻撃の手口、攻撃者の属性、誰がどのデータ、システム、リソースにアクセスできるかなどがあります。

傾向分析

サイバーセキュリティ侵害の件数は年々増加していますが、攻撃者が悪用する手口も拡大し発展しています。次に挙げるのは、近年発展を遂げたサイバー攻撃の手法です。

マルウェア

マルウェア (malware) は、悪質なソフトウェア (malicious software) の略称です。 マルウェアは正規のコンピュータネットワークを混乱させ、被害を与える目的で、サイバー犯罪者が作成したソフトウェアです。迷惑メールや正規のダウンロードファイルを経由してネットワークに潜み、金銭を盗むか、政治目的のサイバー攻撃を引き起こすことがあります。マルウェアの種類には、スパイウェア、ランサムウェア、アドウェア、ボットネットなどがあります。 

SQLインジェクション

SQL インジェクションは、データベースからデータを盗み取るために設計された攻撃の一種です。サイバー犯罪者は、データ駆動型アプリケーションの脆弱性を利用し、悪質なプログラムをデータベースに挿入します。

フィッシング攻撃

サイバー攻撃者は、本物の企業に見せかけたメールで被害者を狙い、機密情報を求める「フィッシング」を行います。フィッシング攻撃は、クレジットカード情報やそのほかの個人情報を受け渡してしまうように欺きます。

中間者攻撃

中間者攻撃では、サイバー犯罪者がふたりの当事者のコミュニケーションに割って入り情報を盗み取ります。たとえば、セキュリティが不十分なWi-Fiネットワーク上で、被害者のデバイスからネットワークへ侵入する情報を攻撃者が傍受します。

DoS攻撃

DNSスキームでは、サイバー犯罪者は、ネットワークやサーバーのトラフィックを溢れ返らせることでコンピュータシステムが正当な要求を満たせないようにします。F1レース開催中に、交通渋滞レベルの膨大な数の車が、レース場に流れ込んでくることを想像してみてください。この手口は、企業が重要な基本機能を遂行するのを妨げ、システムが使用できない状態にします。3

ビジネスメール詐欺 (BEC) とEメールアカウント侵害 (EAC) 

攻撃者が被害者の信頼する人物に「なりすます」のが、ビジネスメール詐欺 (BEC) です。通常は、上司、同僚、ベンダー、ビジネスパートナーなどの信頼している誰かに扮したメールアドレスから始まる詐欺です。そして攻撃者は、被害者に電信送金、新しい口座への支払い、機密情報の送信などを要求します。

ビジネスメール詐欺とEメールアカウント侵害 は密接に関係していますが、IDのなりすまし方に違いがあります。ある意味、メールアカウント侵害の方がビジネスメール詐欺よりも、検出と阻止が難しい脅威です。ビジネスメール侵害では、攻撃者は信頼できる人のメールアカウントになりすまそうとします。メールアカウント侵害では、攻撃者が信頼している人のメールアカウントを乗っ取ります。そのメールアカウントは、見かけが本物らしいだけでなく、正真正銘の本物を悪用しているからです。

今できる対策

動的に変化するサイバーセキュリティの脅威を理解し、定期的に調整を施した防衛を維持することが貴社の成功にとっては不可欠です。考え抜かれたサイバーセキュリティ戦略を実行することで、あらゆる事態に備えることができます。

メールやSNS、モバイル端末は、今日では欠かせないビジネスツールです。同時に、サイバー犯罪者にとっては攻撃のツールになり得ます。新たなツールを取り入れ、活用すると同時に、この新しいテクノロジーで考案された高度な脅威やコンプラインアンスのリスクから企業組織内の社員、データ、ブランドを守らなければなりません。

今日では、このような変わり行くビジネスを悪用して、攻撃者があらゆる場所で働く人々を狙っています。漏洩やデータ侵害から企業の安全を守っていくためには、最新のサイバーセキュリティ攻撃の手口に遅れを取らないことが重要です。

1 Steve Morgan (Cybercrime Magazine). “Global Cybersecurity Spending Predicted To Exceed $1 Trillion From 2017-2021.” June 2019.
2 Sarah Hospelhorn, Varonis.com “8 Events That Changed Cybersecurity Forever.” March 2020.
3Kaspersky Lab. “What is Cyber Security?” 2020