この章では最初になぜサイバーセキュリティが必要なのかを説明していきます。次にまたサイバーセキュリティとは一体何なのかを説明します。
そして最後にサイバーセキュリティが組織的なサイバー犯罪から組織全体をどのように救うことができるのかを、シナリオを通して紹介します。
我々はデジタルの時代で生活しています。ホテルを予約するにしても、夕食を注文するにしても、タクシーを予約するにしても、私たちは常にインターネットを利用しています。
私たちは常にインターネットを利用しており、常にデータを生成しています。データは最近では通常クラウドに保存されています。クラウドとは、基本的にはオンラインでアクセスできる巨大なデータセンターのことです。
また、私たちはこのデータにアクセスするために様々なデバイスを活用しています。ハッカーにとってはアクセスできるポイントが非常に多く、公開されたiPアドレス、膨大なトラフィック、大量のデータを悪用できる時代になりました。
ハッカーたちは、サイバー攻撃が日に日に進化しているのと同じく発生する脆弱性を突いたり、悪意のあるソフトウェアを作成したりして日々攻撃を行っています。
これは、個人だけでなく大規模な組織にも当てはまります。
過去には、データのプライバシーや機密性が損なわれるようなサイバー事故が複数ありました。
インフォメーション・イズ・ビューティフル(information is beautiful)というサイトにアクセスすると、有名なサイバー犯罪の内容を見ることができます。
EbayやEvernote、Adobeなどの大企業もデータを保護するために多くのセキュリティ対策を講じているにもかかわらず、実際に大規模なサイバー侵害を経験していることがわかっていただけると思います。
このように個人だけハッカーに狙われているだけでなく大きな組織も常に狙われているのです。
あらゆる種類のサイバー攻撃の可能性、過去の情報漏洩、膨大な量のデータを見てきた私たちは、このようなあらゆる種類のサイバー攻撃から自分自身を守るために何らかの対策があるはずだと考えると思います。
サイバーセキュリティの3大原則と防止すべき3つの行動
セキュリティにはサイバーセキュリティと物理的セキュリティがあり、コンピュータの世界ではサイバーセキュリティ・情報セキュリティと呼ばれているもので、上記のサイバー攻撃を防止するために使用するものです。
サイバーセキュリティは、
- 「データの機密性」(Confidentiality)
- 「完全性」(Integrity)
- 「可用性」(Availability)
を維持するためのもので、サイバーセキュリティの三原則です。CIAと略されることが多いです
サイバーセキュリティを活用することで、サイバー攻撃やデータ漏洩、個人情報の盗難などを防ぐことができリスク管理にも役立ちます。
例えば、ユーザー保護のために情報を守り盗難による損失を防ぐと同時にコンピューターをスキャンして悪意のあるコードを検出することができます。
さて、サイバーセキュリティについて説明する際、攻撃者が行う主な活動は3つあります。それは
- 不正な変更(unauthorized modification)
- 不正な削除(unauthorized deletion)
- 不正なアクセス(unauthorized access)
です。
この3つは、先程のCIA TRIED(Confidentiality Integrity Availability)と非常によく似ています。
CIA TRIEDは一般的にセキュリティの3本柱とも呼ばれており、大企業はもちろん、中小企業のセキュリティポリシーのほとんどがこの3つの原則に基づいています。
データの機密性(Confidentiality)
まず最初に「データの機密性」です。
データの機密性は、「プライバシー」とほぼ同じ意味です。機密保持を確保するために行われる対策は、機密情報が間違った人に渡るのを防ぐと同時に、正しい人が実際に入手できるように設計されています。
データの閲覧を許可された人だけにアクセスを制限する必要があります。
また、被害の大きさや種類に応じてデータを分類することも一般的です。
多かれ少なかれ意図しない人の手に渡ってしまった場合、その分類に応じて厳しい対策を講じることができます。
データの機密性を守るためには、そのような文書に触れる人たちに特別なトレーニングを行う必要がある場合もあります。
そのようなトレーニングには、通常、その情報を脅かす可能性のあるセキュリティリスクが含まれます。
トレーニングによって、権限のある人にリスク要因とその対策方法を知ってもらうことができます。
さらに、強力なパスワードやパスワード関連のベストプラクティス、ソーシャルエンジニアリングの手法に関する情報など、善意でデータの取り扱いルールを曲げてしまい、最悪の結果になることを防ぐためのトレーニングも含まれます。
完全性(Integrity)
次に「完全性」です。完全性とは、データのライフサイクル全体にわたって、データの一貫性、正確性、信頼性を維持することです。
データは転送中に変更されてはならず、権限のない人がデータを変更できないようにするための手段を講じる必要があります。
例えば、機密保持違反の場合これらの措置にはファイルのパーミッションやユーザーのアクセス制御が含まれます。
権限のあるユーザーによる変更や偶発的な上書きが問題になるのを防ぐためにバージョン管理を使用することもできます。
さらに電磁パルスのような人為的でない事象の結果として生じるデータの変更を検出するために、何らかの手段を講じなければなりません。
データの中には、チェックサムが含まれている場合があります。暗号であっても完全性を確認するためのチェックサムがバックアップされていたり、影響を受けたデータを正しい状態に戻すための冗長性が確保されていなければなりません。
可用性(Availability)
可用性を確保するためには、すべてのハードウェアを厳格に管理し、必要に応じてハードウェアの修理を直ちに行い、ソフトウェアの競合がない正常に機能するオペレーティングシステム環境を維持することが必要です。
また、必要なシステムのアップグレードは常に最新の状態に保つことが重要であり、適切な通信帯域を提供しボトルネックの発生を防ぐことも同様に重要です。
冗長性、高可用性のあるクラスター構成にすることで1つのハードウェアが急に故障しても、深刻な結果を軽減することができます。
データの損失やネットワークの切断を防ぐためには、自然災害などの予測不可能な事象を検討しておくべきで、そのような事象によるデータの損失を防ぐためにはバックアップコピーを遠隔地に隔離された場所、おそらく耐火性のある場所に保管しておく必要があります。
Comments