企業が行うべきセキュリティ対策

企業が行うべき情報セキュリティ対策とは?具体的な例とポイントを解説

企業が行うべきセキュリティ対策

企業が持続的に発展していくためには、損失につながる危険要因を適切に管理する、リスクマネジメントへの取り組みが欠かせません。そこで重要な役割を担うのが、事業活動を通じて収集された情報資産をさまざまな脅威から保護する「情報セキュリティ対策」です。本記事では、企業が実施すべき情報セキュリティ対策の具体例や押さえるべきポイントについて解説します。

 

情報セキュリティとは

情報セキュリティとは、事業活動において発生し得るセキュリティインシデントを多角的に評価・分析し、リスクの回避と損失の最小化を目指す施策の総称です。具体的には、「機密性」「完全性」「可用性」の3要素を対策基準の大枠として設定し、それぞれの観点から情報資産の安全性を強化します。そして、組織が保有する情報資産をマルウェアや不正侵入などの脅威から保護するとともに、ITシステムの恒常的な稼働を担保することが、情報セキュリティ対策の目的です。

  • 機密性
    情報セキュリティにおいて機密性とは、データベースに蓄積された情報資産が外部に流出しない状態を意味します。情報の機密性が低い状態では、外部からの不正侵入や、内部の人間による意図的な情報流出といったセキュリティリスクが懸念されます。
  • 完全性
    情報セキュリティの完全性とは、収集・蓄積された情報が正確かつ最新に保たれている状態を意味します。情報の完全性が保たれていない場合、データの改ざんや重複、ファイルの破損などを招く要因となり、データの正確性や信頼性を担保できません。
  • 可用性
    情報セキュリティにおける可用性とは、ITシステムの安定稼働を確保し、データを常時使用できる状態に保つことを意味します。ITシステムの可用性が確保されていない場合、ネットワーク障害やサーバーダウンなどによって、事業活動に多大な支障が生じる可能性があります。

【参考記事】情報セキュリティって何?|国民のための情報セキュリティサイト

 

 

情報セキュリティに対する脅威と対策

ここでは、事業領域において想定されるセキュリティインシデントと、主な対策について解説します。

 

ウイルス感染への対策

コンピュータウイルスとは、コンピュータのファイルに寄生して増殖する不正プログラムです。「トロイの木馬」や「ワーム」などと同じくマルウェアの一種であり、ウイルスに感染するとファイルのプログラムを書き換えられたり、情報を窃取される被害が想定されます。

代表的な対策として挙げられるのが、ウイルス対策ソフトウェアの導入です。ウイルス対策ソフトウェアは、既知のマルウェアに類似するプログラムを自動的に検出して無力化します。そのほかにも、アプリケーションを最新のバージョンに保つ、スパムメールの添付ファイルを開封しない、安全性が低いWebサイトをフィルタリングする、といった対策も有効です。

 

不正侵入への対策

不正侵入とは、不正な手段を用いてコンピュータやファイルにログインする行為を指します。不正侵入は、顧客情報の窃取や個人情報の流出といった被害につながることはもちろん、ほかのシステムを攻撃する踏み台として利用される事例も少なくありません。

不正侵入を防止するためには、ID/パスワード管理の徹底や、職務分掌規定に基づくアクセス権限設定などの対策が必要です。また、LANとインターネットの間でネットワーク層を保護するファイアウォールの設置や、アプリケーション層の脆弱性を狙う脅威から情報資産を保護するWAF(Web Application Firewall)の導入、といった対策も求められます。

代表的な対策一覧は以下のようなものです。

  • ID・パスワード管理の仕組み化
  • アクセス権限の設定
  • ファイアウォールの設置
  • WAFの導入
  • アクセスログの取得と監視

また、不正侵入への対策としてWAFの導入も効果的です。WAFはWeb Application Firewallの略称でWebアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。Cloudbric WAF+(クラウドブリック・ワフプラス)では、WAFサービスや脅威IP遮断サービスなどWebセキュリティに必要な5つのサービスを統合的に提供します。

【関連記事】クラウド型WAFサービス cloudbric WAF+

 

情報漏えいへの対策

情報漏えいとは、組織のデータベースに蓄積された情報資産が外部に流出することです。ウイルスや不正侵入による機密情報の漏えいや、内部の人間による意図的なデータの流出といった被害が想定されます。

情報漏えいを防ぐためには、情報管理における仕組みを整備し、そのルールを遵守する経営体制を構築しなくてはなりません。そのためには、ウイルス対策ソフトやファイアウォールなどを導入するだけでなく、顧客情報や製品開発情報といった機密情報の取り扱いに関するルールの策定が求められます。また、廃棄した物品から情報漏えいにつながるケースもあるため、PCやHDD、資料などの廃棄ルールを整備する必要があります。またWAFも情報漏えいの対策として効果的です。WAFでは個人情報の漏えいに繋がるOSコマンドインジェクションの脆弱性を悪用した攻撃に対して防ぐことができます。

代表的な対策一覧は以下のようなものです。

  • ウイルス対策ソフトやファイアウォールの導入
  • ID/パスワード管理やアクセス権限設定の最適化
  • データガバナンスの整備
  • 情報セキュリティに関する社員教育
  • 機器や資料などの廃棄ルールを徹底する

 

災害などによる機器障害への対策

地震大国と呼ばれる日本では、いかにしてITインフラの可用性を確保するかが重要課題です。たとえば、地震や火災などによってサーバーがダウンした場合、業務に支障をきたすのみならず、情報漏えいによる信用の失墜や損害賠償請求、売上機会の損失、株価の下落、ブランドイメージの低迷といった損害を招きかねません。

こうした事態を回避するためには、サーバーの冗長化やバックアップ環境の整備、ファイルサーバーのクラウド移行、予備電源の確保、データセンターの安全管理といった対策が求められます。また、災害発生時における復旧マニュアルを策定し、有事の際に柔軟かつ迅速に対応できる体制を整えることも大切です。

代表的な対策一覧は以下のようなものです。

  • サーバーの冗長化
  • バックアップ環境の構築
  • ファイルサーバーのクラウド移行
  • 予備電源の確保
  • データセンターの安全管理

 

 

情報セキュリティ対策のポイント

事業領域における情報セキュリティ対策を整備する際は、いくつか押さえるべきポイントが存在します。なかでも重要なポイントとして挙げられるのが、以下の3点です。

 

システムを最新の状態にする

現代はデジタル技術や情報通信技術の進歩・発展に伴い、マルウェアや不正侵入といったサイバー攻撃の手口も年々巧妙化かつ多角化していく傾向にあります。このような脅威から組織の情報資産を保護するためには、最新かつ最適なシステムを導入することが重要です。自社で導入しているシステムが適切か見直しを行い、それらが最新かどうかを確認しましょう。さらに導入したOSやソフトウェア、アプリケーションなどを常に最新バージョンに保つことが大切です。

 

テレワークへの対応をする

近年では、働き方改革の推進や新型コロナウイルスなどの影響により、テレワーク制度を導入する企業が増加傾向にあります。テレワーク環境では、オフィス外から社内ネットワークにアクセスする必要があり、リモート型の遠隔勤務に対応したセキュリティ体制を確立しなくてはなりません。安全かつ高速なファイル共有基盤を構築する必要があるため、ファイルサーバーのクラウド移行や仮想デスクトップ基盤の導入を検討するとともに、データガバナンスの整備やセキュリティガイドラインの策定といった施策が求められます。

 

従業員へ教育と管理を行う

情報セキュリティを強化するためには、マルウェアのような外部環境への対策だけでなく、人材のITリテラシー向上やデータガバナンスの策定といった内部環境の整備が欠かせません。そのためには、情報セキュリティに関する研修や教育制度を確立し、従業員一人ひとりが情報漏えいの事例やサイバー攻撃の手口などを学ぶ必要があります。そして、意図的な情報の持ち出しを防止する仕組みを整備し、そのルールを遵守する企業文化を醸成することで、組織全体における情報セキュリティの強化に寄与します。

 

まとめ

情報セキュリティとは、「機密性」「完全性」「可用性」の3要素に基づいてセキュリティリスクを分析し、組織の情報資産を保護するとともに、ITシステムの継続的な稼働を担保する一連の施策です。

事業活動ではIT化の進展に伴って、「ウイルス感染」「不正侵入」「情報漏えい」「機器障害」などのセキュリティリスクが想定されます。したがって、ウイルス対策ソフトやWAFの導入、アクセス権限設定の最適化、OSやソフトウェアのアップデート、サーバーの冗長化といった対策が必要です。

そして同時に、従業員への教育制度やデータガバナンスを整備することで、組織全体における情報セキュリティの強化につながります。

 

블로그 이미지211203

メタバース普及に伴うセキュリティリスク、そして対策について解説

前回、メタバースについてくわしく解説しました。詳しくは下記の記事を参考にしてください。

世の中でほとんど常識の「メタバース」、まだ見ぬ未来にもたらすインパクトとセキュリティ対策について

 

メタバースの空間では声だけでなく仕草などの存在感も感じられ、実際に会っているような感覚で話せることからビジネスでのコミュニケーションの面でも注目されています。今回は、最近になって関心を向けられているメタバースにおけるサイバーセキュリティと生じる可能性があるリスクについて考えてみます。

 

メタバースの特徴2

このメタバースは次世代における、生活や産業などの経済活動を営む上で不可欠な社会基盤とも言われており、Facebook、Googleなど世界中の企業から注目を集めていますが、この世界に「メタバース」と呼ばれるものを、細部まで正確に成り行きや結果について前もって見当をつけて説明できる人はいないとも言われています。それほど新しい概念となっているため、メタバースを現実のものとすることがもしも叶うならば、インターネットの次のインフラと言われるほどの世の中を変える大きな動きをもたらすでしょう。インターネットが世の中に登場する以前の人々がインターネットの全貌を予測できなかったように、私たちもメタバースというものを予測できないのです。しかし現時点における本質的な思考において把握される、メタバースの『何たるか』という部分をよくわかるように述べることは不可能ではありません。

  1. 無限の期間に存在することのできる特性がある
    インターネットの世界ではスイッチをオフにしてしまえばそこで終了ですが、現実世界には終わりがありません。この意味でメタバースは現実世界に近い無限の期間に存在することのできる特性があること。
  2. 自分の主体性がある
    ここでの主体性とは自分そのものを現示するアバターのことで、人間の創造的活動により生み出されるどのようなものであっても変わらずに使用できること。
  3. 現実世界と内容や情報が一致している
    常に現実世界と仮想世界の内容や情報が一致しており、時間が一致していること。
  4. 何時でも無条件で場所を選ばずに参加できる
    接続できる人数に制限がなく、特殊な場合についてでなく広く認められ公開されているということ。ひとつの場所に制限がなく接続できること。
  5. 自社の経済波及効果を持っている
    個人や企業が、仮想空間内でサービスの開発・売買・投資・保有、さらに作ったものに対して報酬が支払われること。これらが現実世界でこうあるべきだと決められた規則から独立して行われること。
  6. 多種多様のコンテンツ
    ゲームやスポーツ、アーティストの生演奏観覧をファーストステップとして、ファッションショーやトークショーなどリアルで実施されてきたイベントを行えること。

現在において、確定的事実としてではありませんが考証推測できるメタバースの特徴はこれくらいでしょうか。共通して考えられることは、現実の世界を構成する個々の部分とほぼ変わらない固有の働きを備えているということでしょう。

 

メタバースで配慮しなければならないサイバーセキュリティとリスク

現実空間と似通っているエクスペリエンスができてしまうメタバースは、まだ見ぬ未来多種多様な場面において役立てるシーンが広がるものと考えられます。これまでのインターネットサービスと相違するメタバースで、推しはかれるリスクにはいったいどんなものがあるでしょうか。これからバーチャルな空間で生活する場面が増えていく時代を迎え入れるに際して、いったいどんなリスクが存在するのかを考えることはきわめて大切なことです。

リスクモデリング手法「STRIDE」

メタバースにおけるリスクを考える上で、リスクモデリング手法である『STRIDE』を使用します。STIRDEはマイクロソフト社によって提唱されたリスク導出の方法で、サービスにどのようなリスクが考えられるのかを次の6つの観点で網羅的に分析できます。

  1. Spoofing identify:なりすまし
    正規の利用者に悪意のある攻撃者がなりすます
  2. Tampering with data:改ざん
    データの悪意ある書き換え
  3. Repudiation:否認
    攻撃の証拠を隠滅し身元を隠す
  4. Information disclosure:情報漏えい
    秘匿すべき情報が窃取または公開される
  5. Denial of service(DoS):サービス拒否攻撃
    サービスを止めてしまい使えなくする
  6. Elevation of privilege:権限昇格
    管理者の権限を不正に奪い悪用する

これらの6つのリスクカテゴリーの頭文字をとってSTRIDEとされています。本来は対象となるサービスのデータフローを図式化し、フローごとに詳細な上記の観点で分析を図っていきますが、ここでは簡易的にメタバースで起こり得るリスクについてSTRIDEの観点で考えてみます。

 

Spoofing identify(なりすまし)

メタバースにおけるなりすましは利用者の存在それ自身を脅して恐怖を抱かせます。記録や情報が盗んで持ち出される情報漏えいだけでなく、無断で情報がやり取りされるといった被害が発生することによって、本人の心当たりがないところで信頼性を失墜させる可能性があります。メタバースの利用用途が広がれば、勝手な契約や詐欺などに悪用される恐れもあります。攻撃者は次のような手順で利用者へのなりすましを行うと考えられます。

  • 認証情報(IDやパスワード)の窃取
    メタバースに接続するための認証情報が狙われるため、サービス運営者を騙ったフィッシングによる窃取や辞書型や、リスト型攻撃による不正ログインなどが考えられます。運営者側では多要素認証の導入、利用者側は他のサイトとのパスワードの使い回しをしないといった対策が有効です。アバターモデルデータやワールドデータが認証情報に紐づけられて登録されているため、認証情報の維持管理はいいかげんにせずきびしい態度で対処する必要があります。
  • アバターモデルデータの窃取
    メタバースで使われているアバターモデルは現実のトレンドとほとんど同じであることによって、自分自身の姿に手を加えて他と比較して異なる個性をもった好みのものに作り変えられるため、利用者の人格を正しく理解する上で重要視されるべき要素となっています。その人個人のアバターモデルが他人に悪用されてしまうと、他の利用者から視覚的に見分ける方法はありません。アバターモデルデータを窃取するには、正当と見なされる手段や方式を用いないログインやメモリーに展開されているキャッシュデータからの抽出、サーバ上に保存されているデータの取得が考えられます。これらのリスクには、サーバやクライアントアプリを含めたサービス提供側でのデータの抽出や解読を困難にする仕組みの導入などの対策が求められ、サーバ上に保存されているデータについても暗号化や権限管理による制限が必要となります。
  • 他人を装った利用者
    アーティフィシャル・インテリジェンスなど高度な合成技術を用いて作られた、本物と見分けがつかないような偽物の動画である『ディープ・フェイク』が大きな問題になっていますが、メタバースでの人格のなりすましはまさに魂のディープ・フェイクと言えるでしょう。アバターモデルデータの窃取と同様に、他人を装った利用者の存在もリスクと考えられます。相手の存在をアバター・声・しぐさ・名前といった現実よりも条件が制約されており、行動や判断の範囲に一定の限度がある情報で認識しているため、他人のアバターを窃取することによって、声や動きを合成音声やしぐさの解析で再現できるため、メタバース内でのみ顔見知りである人にとっては本人と見分けることはこの上なく困難なものと言えます。メタバースを通して利用者に提供するサービスについて思慮をめぐらす際は、こういったなりすましを考慮に入れた本人確認のメカニズムを考えなければなりません。

 

Tampering with data (改ざん)

メタバースでは、利用者が作り上げたアバターやワールドのデータを複数の利用者が共に利用できる仕組みを備え持っているため、攻撃者による改ざんは制作した利用者の意図とは異なる動作によって他の利用者への被害を生む恐れがあります。

  • ワールドデータの改ざん
    メタバースでは、通常の限界を超えた色の変化や光のハイスピードな点滅といった神経を過敏に反応させる問題のある演出効果を、利用者の視界全体に表示させる嫌がらせが問題となります。これらは心理的・精神的な悪影響だけでなく、嘔吐や倦怠感などの身体的な被害を生じる場合があり、最悪の場合重大な症状のきっかけとなる恐れがあります。攻撃者がワールドデータを改ざんすることでこういった効果を埋め込むことによって、訪れた善意の利用者に被害を生じさせるといった不正行為が考えられるため、利用者のアバターモデルと同じ方法でサービス提供側におけるワールドデータの保護が所望されます。
  • プロファイル情報の改ざん
    メタバースでは、オンラインゲーム同様にこの人は信じられる、頼りにできるなどと他人から評価される度合いをスコアリングした、信頼度レベルシステムを搭載しているサービスもあります。こういった信頼度スコアは、メタバース内における社会性のある互いを大切に思う結びつきといったアクティビティを積み重ねることによって、スコアがレベルアップするように設計されています。こういった値が改ざんされてしまうと、つくり終えて間のないアカウントでも他の利用者に被害をもたらすようなワールドやアバターデータを共有することが可能になる危険性があります。

 

Repudiation(否認)

否認とは、サービス上での操作履歴を跡形もなく消すことによって、不正行為のエビデンスを無くし攻撃者の特定をできなくするリスクです。過去に蓄積された情報から攻撃者を特定することが困難となるため、状況に合わせた適当な処置をとることがほぼ不可能となります。メタバース上では、サービス内に保存されている過去にどういった行動をしたかという情報の改ざんや、操作の順序と回数を記録した情報の改ざんなどによる否認が考えられます。

 

Information disclosure(情報漏えい)

情報漏えいは、情報を保持すべき当事者以外の第三者が不正に情報を入手するリスクです。

  • メタバース空間内での盗聴・盗撮
    現実世界と同じようにメタバース空間内においても盗聴・盗撮といった悪い結果を招く可能性があります。アナログな現実世界をデジタル・コピーした世界であるメタバース空間においては、原理上『見えない』アバターの存在が可能で、ひとつのワールドデータを基にして同時に複数の世界を生成できます。このようなメカニズムはワールドのインスタンス化と呼ばれています。プライバシーを提供するために作成されたインスタンスにおいては、プライベートな内容や守秘義務が課されるような会話が行われているかもしれません。こういったインスタンスに第三者がアクセス可能である場合、目に映らないアバターを通して発言や行動などといったものが盗聴・盗撮されてしまう恐れがあります。サービス側におけるインスタンスの権限管理が行われることはもちろん、利用者側も接続に必要なインスタンス認証情報の取り扱いに注意が必要です。
  • メタバース空間に仕組まれた盗聴器や隠しカメラ
    ワールドのメカニズムを悪用することによって、そのワールドに訪問した利用者の行動や発言を記録される可能性が考えられます。盗聴器や隠しカメラと同様にワールドデータ内に仕組まれた音声や画像を採録するメカニズムによって、そのワールド内での利用者同士の会話や出来事が、知らない間に録音・撮影され第三者に送信されているかもしれません。このような機能の悪用を防ぐには、サービス側でワールドを作成する機能に対して通信先の制限や使用可能な機能の制限などを適切に行う必要があります。アバターを通してメタバース空間内で行われるコミュニケーションは、そのことに直接関係する人にとっては現実世界と同様に現実味を帯びた体験と等しい価値を持ちます。これらに対する盗聴・盗撮は体験以外の何ものでもないものの窃取と言えるため、リアル世界と同等に深刻な問題となります。

 

Denial of Service(サービス拒否)

いわゆるDoS攻撃とも呼ばれるもので、コンピュータの負荷を上昇させることによって、サービスの提供を不可能にするリスクです。

  • 利用者のパソコンに対するDoS攻撃
    ワールドやアバターを気持ちの赴くままに開発できるメタバースでは、利用者が仮想空間への接続に使用しているパソコンに対するDoS攻撃が考えられます。表示させた瞬間にパソコンが突然に異常終了してしまうアバターや、接続した瞬間にオーバーロードで表示が止まってしまうようなワールドなど、利用者が制作可能な機能を悪用した攻撃は実際に既存のメタバースでも問題となり様々な手段で対策が行われてきました。盗聴対策と同様に、アバターやワールドの表示や処理負荷に対して満たさなければならない条件についての決まりごとを設定して、アップロード時に検査するなどの処置が必要となります。

 

Elevation of Privilege(権限昇格)

権限昇格は、一般の利用者のアカウントを不正な方法によって管理者に昇格し、通常では使用できない管理機能の使用を可能にするリスクです。

  • プロファイル改ざんによるスーパーユーザ権限の取得
    サービスの仕様によっては、ユーザプロファイルにおける権限フラグ設定などを改ざんし、スーパーユーザ機能を有効にする攻撃が考えられます。

 

まとめ

メタバースが普及するようになると今後ビジネスコミュニケーションを大きく変えることになるでしょう。しかし、現在ではゲーム、教育、会議など、特定の分野での活用にとどまり、まだ限界があるのも事実です。最も懸念されるものがセキュリティです。メタバースがこれからどのように進展いくのか分からないということ、そして現在メタバースがインターネット上で構築されている以上、Webシステムにまつわる全てに脅威について徹底して対策していく必要が求められます。

 

Cloudbricのご紹介

https://www.cloudbric.jp/cloudbric-security-platform/