サイバーセキュリティとは？必要な対策とオススメの資格3選

2018年07月31日
2018年07月31日
#サイバーセキュリティ

「サイバーセキュリティって何だろう？」

と思っている方。

サイバーセキュリティは、自社のPCやサーバーをサイバー攻撃から守る方法です。十分なサイバーセキュリティを整えることで、お客さまの個人情報を守り、訴訟などのリスクを減らすことができます。
とはいえ、どのような点に気をつけて守ればよいかわかりにくいですよね。

そこでこの記事では、

サイバーセキュリティとは
企業がサイバー攻撃を受けたときの4大リスク
サイバー攻撃の具体例5つ
サイバーセキュリティに必要な3つの対策
サイバーセキュリティ担当者にオススメの資格3選

の順にお伝えします。
サイバーセキュリティはハードルが高そうに感じますが、概要を押さえることは難しくありません。

まずはサイバーセキュリティについて大まかにつかみましょう！

サイバーセキュリティとは

サイバーセキュリティとは、サイバー攻撃から自社のデータを守ることです。

サイバー攻撃は企業や個人をターゲットとし、攻撃を受けると

サーバやパソコンが使えない状態になる
データが盗まれる
データが改ざんされる

などの被害が発生します。

日本経済新聞社が2017年10～11月に実施した「企業法務・弁護士調査」によると、過去5年間でサイバー攻撃を受けたことのある企業は全体の66%にのぼり、前年から8ポイント上昇しました。

サイバー攻撃は、メールなどのあらゆるネットワーク通じて攻撃を仕掛けてくるため、その脅威を100%避けることは難しいです。

政府もサイバーセキュリティを重要視し、2015年から「サイバーセキュリティ基本法」を施行しています。

サイバーセキュリティ基本法とは

サイバーセキュリティ基本法は、「サイバー攻撃対策に関する国の責務などを定めた法律」です。

この法律では、サイバーセキュリティを国と自治体、事業者などが連携して対応する方針が示されています。

法律ができた背景は、

サイバー攻撃被害の深刻化
サイバー攻撃による被害範囲の拡大
サイバー攻撃のグローバル化

です。

1. サイバー攻撃被害の深刻化

国の重要機関や大企業が重要な情報をインターネット上であつかうことが増えました。そのため、サイバー攻撃による被害も深刻化しています。

2. サイバー攻撃による被害範囲の拡大

スマートフォンの普及などにともない、インターネットを利用する個人が爆発的に増えました。そのため、被害の範囲が拡大しやすい状況です。

今後出てくるであろう自動運転などに備わっている、ネットワークを利用した制御系システムへのリスクも高まっています。

3. サイバー攻撃のグローバル化

国境を越えたサイバー攻撃が、年々増加しています。中には国家間の問題になる可能性があるものもあり、民間だけでは対応が難しい状況です。

次は、サイバー攻撃の4大リスクについてお伝えしますね。

企業がサイバー攻撃を受けたときの4大リスク

企業がサイバー攻撃を受けたときのリスクは4つです。

情報が漏れるリスク
賠償が発生するリスク
事業を継続できないリスク
風評被害が起こるリスク

1つずつ説明しますね。

1. 情報が漏れるリスク

サイバー攻撃により、お客さまの個人情報や、会社の重要な情報が外部へ漏れてしまうリスクがあります。情報が漏えいするとお客さまからの信用を失い、加えて被害へ対応するための費用が必要です。

2. 賠償が発生するリスク

ユーザーにお金を払って利用してもらっている自社サービスがサイバー攻撃によって停止されてしまった場合は、サービス停止に対する賠償が発生します。

通信教育のBwnesse(ベネッセ)が個人情報を流出したさいは、賠償判決こそ出ませんでしたが、被害者2,895万人へ対し500円の金券をお詫びとして送付し、約150億円の出費が発生しました。

3. 事業を継続できないリスク

サイバー攻撃により、企業が提供するサービスがストップする場合、事業そのものが継続できない可能性があります。

4. 風評被害が起こるリスク

お客さまの個人情報を漏えいさせてしまうことで「リスク管理ができていない企業」と見なされ、

お客さまからの信頼を失いブランド力が低下する
お客さまを失う

ことが起こります。

次は、サイバー攻撃の具体例についてお伝えしますね。

サイバー攻撃の具体例5つ

ここでは、サイバー攻撃の具体例として、

標的型攻撃
ランサムウェア
クリックジャッキング
DoS攻撃/DDoS攻撃
ゼロデイ攻撃

の5つをお伝えします。

1. 標的型攻撃：特定のターゲットを狙った攻撃

標的型攻撃とは、ターゲットを特定の組織やユーザーに絞ったサイバー攻撃です。知り合いや取引先を装い、悪意のあるファイルをメールに添付するなどして、パソコンやスマートフォンなどの端末をマルウェアに感染させようします。

2. ランサムウェア

ランサムウェアとは、ユーザのデータを「人質」にとり、データの回復のために「身代金(ransom)」を要求するソフトウェアのことです。

ユーザがデータにアクセスしようとすると、アクセスが不可能になったことが警告され、復元するための対価として金銭の支払いを要求されます。

3. クリックジャッキング：ユーザをWeb上でだましてクリックさせる攻撃

クリックジャッキングとは、Webブラウザを悪用して、ユーザーに不利益をもたらす攻撃の手法です。たとえば、ウィルスに感染させるためのボタンやリンクなどを透明で見えない状態にして、通常のWebページの上にかぶせることでクリックを誘います。

4. DoS攻撃/DDoS攻撃：大量のデータを送り付けてサイトやサーバーをダウンさせる攻撃

DoS攻撃(Denial of Service attack)とは、攻撃目標であるサイトやサーバに対して大量のデータを送り付ける攻撃です。受信側はトラフィックが異常に増えることで負荷に耐えられなくなり、サーバやサイトがダウンします。

DoS攻撃が1つのマシンからの攻撃なのに対し、DDoS攻撃は複数に分散(Distribute)されたマシンからの攻撃です。

5. ゼロデイ攻撃：セキュリティホールを狙った攻撃

ゼロデイ攻撃とは、発見されたセキュリティホール(セキュリティの弱点)が開発元によって修正される前にサイバー攻撃を仕掛ける手法です。システムを定期的にチェックし、すみやかに修正することが、ゼロデイ攻撃への唯一の対応策といえます。

次は、サイバーセキュリティに必要な対策についてお伝えしますね。

サイバーセキュリティに必要な3つの対策

サイバーセキュリティに必要な対策は3つです。

技術的な対策
物理的な対策
人的な対策

1つずつお伝えしますね。

1. 技術的な対策

1つ目は、技術的な対策です。

技術的な対策とは、

コンピューターにはウィルス対策ソフトを導入する
パスワードの認証を2段階にする

などを指します。

組織システムの何と何がつながっているかを表したネットワーク図を作成し、守るべきデータがどこに保管されているかを把握したうえで必要な対策を導入しましょう。

2. 物理的な対策

2つ目は、物理的な対策です。

物理的な対策とは、

オフィスへの入退室管理
端末を持ち出すことの制限

などを指します。物理的な対策は、特別な技術が必要ないので、導入できるものはすぐに導入しましょう。

3. 人的な対策

3つ目は、人的な対策です。

人的な対策とは、

パスワードを使い回さない
知らない相手からのメールを不用意に開かない

などを指します。運用上のルール設定と、従業員へのセキュリティ教育が必要です。

次は、サイバーセキュリティ担当者にオススメの資格についてお伝えしますね。

サイバーセキュリティ担当者にオススメの資格3選

サイバーセキュリティ担当者にオススメの資格は以下の3つです。

個人情報保護士
情報セキュリティ管理士
CompTIA Security+

1. 個人情報保護士

個人情報保護士とは、個人情報保護法に関する正しい知識と、情報セキュリティにおける実務スキルが身につく資格です。

マイナンバー法の施行により企業が必要とする、

企業内のセキュリティに関するリスク分析
個人情報の管理運用や対策

の知識を得ることができます。

2. 情報セキュリティ管理士

情報セキュリティ管理士とは、安全にコンピュータを活用できること、情報セキュリティに関する総合的な知識があることを認定する資格です。
個人情報に触れる機会が多い人事・総務・労務・営業部門などの管理職におすすめします。

3. CompTIA Security+

CompTIA Security+とは、世界規模で認定されている基本的なITセキュリティの知識とスキルを評価する認定資格です。セキュリティの大原則となる、安全なネットワークの維持とリスク管理について学ぶことができます。

組織内のセキュリティリスクを可視化できるため、経営層の情報セキュリティに関する意思決定をサポートすることが可能です。