情報セキュリティの資格とは?

情報セキュリティの資格とは? 取得するメリットとおすすめ資格の一覧

IT技術の発達とともに、サイバーテロや情報漏えいに対する情報セキュリティが重要視されています。専門的な知識も必要になるため、情報セキュリティに関する資格の取得することによって、サイバーセキュリティ等に対して適切な判断を下せるようになります。

情報セキュリティに関しておすすめな資格は7種類あり、取得するのであれば企業の方針や個々の立場、スキル、経験に合わせることが大切です。本記事では、資格の種類や概要、難易度について解説します。

 

情報セキュリティの資格とは?

近年のインターネットやIT技術の目覚ましい進化に伴い、情報漏えいやサイバーテロなどの悪意ある攻撃が急増しています。このような状況から、情報セキュリティの重要性がますます高まりました。

情報セキュリティの資格は、インターネット上に保管されているデータの適切な運営、保護に関する知識、対策、技術力などを証明するものです。データ漏えいやサイバー攻撃からの損失を最小限に抑えながら、「情報セキュリティに詳しい人材がいる」という事実が、個人のキャリアや組織の信頼性を向上させる効果も期待できます。

 

情報セキュリティの資格を取得するメリット

情報セキュリティの資格は専門的な知識やスキルを有する証明になります。資格を持つことにより、「自分は情報セキュリティに関して専門性の高い人材である」と自信を持ってアピールできることは大きなメリットです。

また、スキルを活かした実務の推進にも役立ちます。組織内で情報セキュリティの改革を進める際、資格保持者は最新の技術やベストプラクティスを考慮し、安全性を向上させるための施策を提案できるはずです。これは組織の信頼性を高め、顧客やパートナーからの信頼獲得に貢献します。

社内におけるIT人材の育成にも効果的です。組織内の従業員が情報セキュリティの資格を取得することでスキルアップが促進されるようになるとともに、組織全体のセキュリティ意識が高まります。このような変化は内部からセキュリティの専門家を育て上げることにつながり、長期的なセキュリティ戦略の成功をもたらす要因です。

 

おすすめの情報セキュリティ資格一覧

  1. 情報処理安全確保支援士試験
  2. 情報セキュリティマネジメント試験
  3. シスコ技術者認定
  4. 情報セキュリティ管理士認定試験
  5. 公認情報セキュリティマネージャー(CISM)
  6. (ISC)² 資格
  7. AWS認定セキュリティ

 

情報セキュリティに関する2つの国家資格

情報セキュリティは国家資格と民間資格に分かれます。国家資格は情報処理安全確保支援士試験と情報セキュリティマネジメント試験です。

 

・1. 情報処理安全確保支援士試験

情報処理安全確保支援士試験は、マネジメント・エンジニアの共通分野の試験であり、情報処理システムにおけるセキュリティ確保に関したスキルが問われる資格です。

情報セキュリティの専門知識や実務経験を活かし、システムの潜在的な脆弱性を特定しながら、適切な対策を講じるスキルが評価されます。

内容が高度なため難易度が高く、合格するためには幅広い知識と実践的なスキルが必要です。

 

・2. 情報セキュリティマネジメント試験

情報セキュリティマネジメント試験は、マネジメント分野に焦点を当てた国家試験です。情報セキュリティの基本的な知識やトラブル発生時の対応についての内容が問われます。

難易度は比較的低く、特にエンジニア職を目指す人に向いています。情報セキュリティを組織内で適切にマネジメントするためのスキルや知識を評価する内容になっており、情報セキュリティにおけるポリシーの策定、リスク評価、セキュリティ対策の計画立案などが含まれます。

 

情報セキュリティに関するおすすめの5つの民間資格

前述の国家資格のほか、情報セキュリティに関する民間資格の取得もおすすめです。

 

・1. シスコ技術者認定

シスコ技術者認定は、世界的なネットワーク開発メーカーであるシスコが提供するセキュリティ試験です。情報セキュリティ分野における専門知識とスキルを証明するための信頼性の高い資格として知られています。以下4種のシスコの情報セキュリティ資格が特に有名ですが、難易度が高いため、入念な準備が必要です。

  • CCENT:ネットワークの基礎知識が必要
  • CCNA Security:CCENTの上位資格で、ネットワークの保護に関する知識が必要
  • CCNP Security:CCNA Securityの上位資格でネットワーク環境の構築、トラブルへの対応力が必要
  • CCIE Security:CCNP Securityの上位資格で、国際的に認められている情報セキュリティの上級資格

 

・2. 情報セキュリティ管理士認定試験

情報セキュリティ管理士認定試験は、全日本情報学習振興協会によって実施されている試験です。主に事務系や管理系の職種向けの情報セキュリティ資格として知られています。この試験は、情報セキュリティの基本的な概念と実務的なスキルや習熟度に焦点を当てており、難易度は比較的低いとされています。

 

・3. 公認情報セキュリティマネージャー(CISM)

公認情報セキュリティマネージャー(CISM)は情報通信の国際団体ISACAが主催しています。情報セキュリティマネージャーとしてのスキルと知識を証明するための国際的な資格です。幅広い情報セキュリティ関連トピックスに関する知識やスキルが要求されます。日本語対応の教材が少ないため、難易度は比較的高めです。

 

・4. (ISC)² 資格

(ISC)² 資格は国際的な非営利団体(ISC)²が主催しています。国際的な評価を受けるこの資格は、情報セキュリティ分野のスペシャリストを対象としており、非常に高い難易度です。しかし、取得した資格は国際的に評価されます。情報セキュリティの専門家としての能力を示す強力な証明になることは間違いありません。

ただし、合格後も定期的な資格更新が求められるため、専門知識とスキルを継続的に磨き続ける必要があります。

 

・5. AWS認定セキュリティ

AWS認定セキュリティは、Amazonが提供するクラウドサービスであるAWS(Amazon Web Services)が実施している資格試験です。AWSのセキュリティサービスやベストプラクティスに関する深い理解を持つ専門家を対象にしています。

AWSは多くの企業や組織にとって重要なクラウドプロバイダーです。そのセキュリティに関するスキルと知識もますます求められるようになりました。技術者が注目するべき資格のひとつであることは間違いありません。

 

まとめ

情報セキュリティに関する資格は、昨今の情報社会において重要視されるようになりました。高度な知識やスキルが求められる資格が多いですが、取得の難易度には差があります。取得する際には自分の立場に求められる資格やキャリアパスを考慮し、適切な資格を選択しましょう。

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら

アイキャッチ_58810 中小企業の情報セキュリティ対策ガイドラインの改訂内容を解説

中小企業の情報セキュリティ対策ガイドラインの改訂内容を解説

適切な情報セキュリティ対策を行っていないと、情報漏えいにつながるだけではなく、事業停止や従業員のモチベーション低下、離職など、企業はさまざまな不利益を被ります。このような事態を回避すべく、「中小企業の情報セキュリティ対策ガイドライン」を活用しましょう。本記事では、2023年4月に第3.1版として改訂・公開されたガイドラインの内容について詳しく解説します。記事を参考に、本格的な情報セキュリティ対策への取り組みを始めましょう。

 

中小企業の情報セキュリティ対策ガイドラインの改訂

中小企業の情報セキュリティ対策ガイドラインは、企業経営者や実務の担当者が情報セキュリティ対策の重要性を正しく理解し、適切に対策へ取り組めるように知識や手法をまとめたコンテンツです。IT関連の資格試験、検定などを主催している、独立行政法人「情報処理推進機構(IPA)」が当該ガイドラインを作成しました。

当該ガイドラインは、2019年3月に第3版がリリースされましたが、それから4年が経過した2023年に内容が改訂されました。改訂された背景としては、急速に普及したテレワークが挙げられます。働き方改革の推進や新型コロナウイルス対策により、多くの企業がテレワークを導入しましたが、その結果、情報セキュリティリスクが高まりました。

また、サイバー攻撃の手口が年々巧妙化しているのも、ガイドライン改訂に至ったひとつの理由と考えられます。

関連記事:情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン

 

情報セキュリティ対策ガイドラインでの変更点

変更点として、テレワーク環境下における具体的なセキュリティ対策の追加が挙げられます。3.1版には、テレワークの方針施策とともに、具体的なセキュリティ対策の手法が追加されました。

また、セキュリティインシデント発生時における、具体的な対応方法を追加したのも変更点です。インシデントの予兆を察知したときにまず取るべき行動や、再発防止の取り組み方法なども盛り込まれました。さらに、付録として「中小企業のためのセキュリティインシデント対応の手引き」が追加されています。

 

第1部 経営者編で注意すべきポイント

情報セキュリティ対策ガイドラインは、1部と2部で構成されています。1部は経営者編となっており、対策の必要性や経営者が負う責任、やるべきことなどを記載しています。

 

・情報セキュリティ対策の必要性

情報セキュリティ対策を怠ると、企業はさまざまな不利益を被ります。金銭の損失や顧客の喪失、事業の停止、従業員のモチベーション低下、離職などです。

たとえば、情報セキュリティ対策を怠ったばかりに、顧客情報が外部へ流出し、顧客を失ってしまうかもしれません。一度失った信頼はなかなか取り戻せず、そのまま事業停止につながるおそれもあります。経営者は、組織のトップとして企業と従業員を守らなくてはなりません。そのため、当該ガイドラインで情報セキュリティ対策の必要性、重要性を正しく理解する必要があります。

 

・経営者が負う責任

当該ガイドラインには、経営者が負う責任についても記載されています。情報セキュリティ対策を適切に行わず、組織に何かしらの被害をもたらした際には、経営者にさまざまな責任が発生します。

たとえば、適切な安全管理措置を行わなかったがために、社員の情報が流出してしまい、法的責任を問われる場合があります。また、顧客情報や取引先との契約情報などが流出した場合、関係者や社会に対する責任も果たさなくてはなりません。

 

・認識すべき「3原則」

当該ガイドラインには、経営者がすべきことを3つの原則で紹介しています。

・原則 1 :情報セキュリティ対策は経営者のリーダーシップで進める
対策の推進がスムーズかつスピーディーに進むよう、経営者が先頭に立ちトップダウンで進めます。

・原則 2 :委託先の情報セキュリティ対策まで考慮する
外部へ重要な情報を提供するのなら、委託先が適切な情報セキュリティ対策を行っているかどうかも確認しなくてはなりません。

・原則 3 :関係者とは常に情報セキュリティに関するコミュニケーションを
日常的に情報共有とやり取りを行うことで、顧客や取引先、株主など業務上の関係者との信頼関係を構築・維持できます。

 

・実行すべき「重要7項目の取組」

当該ガイドラインで紹介されている「重要7項目の取組」は以下の通りです。

・情報セキュリティに関する組織全体の対応方針を定める
・情報セキュリティ対策のための予算や人材などを確保する
・必要な対策を検討し実行を指示する
・情報セキュリティ対策に関する適宜見直しを指示する
・緊急時の対応や復旧のための体制を整備する
・委託や外部サービス利用の際には、セキュリティに関する責任を明確にする
・情報セキュリティに関する最新動向を収集する

 

第2部 実践編の内容で注意すべきポイント

実践編では、情報セキュリティ5か条と組織的な取り組みの流れ、損害を防ぐための具体的な対策が記載されています。具体的な対策を立てる際の参考にしましょう。

 

・情報セキュリティ5か条

情報セキュリティ5か条は、必ず実行すべき5つの対策です。

・OSやソフトウェアは常に最新の状態にしよう!
・ウイルス対策ソフトを導入しよう!
・パスワードを強化しよう!
・共有設定を見直そう!
・脅威や攻撃の手口を知ろう!

同時にすべての項目に取り組むのは難しいと考えられるため、取り組みやすそうなものから手をつけてみましょう。

 

・組織的な取り組みの流れ

まずは、情報セキュリティに関する基本方針を定めましょう。軸となる方針がないと、対策にブレが生じるおそれがあります。また、基本方針を定めるだけでなく、従業員に周知しなくてはなりません。

次に、現状における対策の実施状況を把握します。当該ガイドラインの付録を活用すれば、容易に実施状況の把握が可能です。実施状況を把握したら、対策を決めて従業員への周知を進めましょう。

 

・損害を防ぐための具体的な対策

事業に深刻な損害を及ぼす事故を回避するための対策も、ガイドラインには記述されています。

・管理体制の構築
対策を推進し、万が一事故が発生したときスムーズに対応できるよう管理体制を構築します。

・DXの推進と情報セキュリティの予算化
DX推進によってより複雑化するリスクに対応するため、対策に必要な予算を確保しなくてはなりません。

・情報セキュリティ規程の作成
自社にマッチした規程を作成するには、対応すべきリスクを抽出したうえで対策を決定します。

・委託時の対策
委託時の対策が適切でないと、委託先と共有した機密情報が外部に流出する可能性があります。

・点検と改善
対策がきちんと実行できているか、効果を得られているか、改善の余地はないかなどを確認します。

 

まとめ

中小企業の情報セキュリティ対策ガイドラインが改訂となり、安全なテレワークを実現するための具体策やインシデント発生時に取るべき行動なども追記されました。情報セキュリティ事故が発生すると、情報漏えいや利益損失につながるだけでなく社会的な信頼を失い、事業停止にも追いやられかねません。こうしたリスクを回避すべく、当該ガイドラインを参考にしつつ適切な対策を進めていきましょう。

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら

企業が行うべきセキュリティ対策

企業が行うべき情報セキュリティ対策とは?具体的な例とポイントを解説

企業が行うべきセキュリティ対策

企業が持続的に発展していくためには、損失につながる危険要因を適切に管理する、リスクマネジメントへの取り組みが欠かせません。そこで重要な役割を担うのが、事業活動を通じて収集された情報資産をさまざまな脅威から保護する「情報セキュリティ対策」です。本記事では、企業が実施すべき情報セキュリティ対策の具体例や押さえるべきポイントについて解説します。

 

情報セキュリティとは

情報セキュリティとは、事業活動において発生し得るセキュリティインシデントを多角的に評価・分析し、リスクの回避と損失の最小化を目指す施策の総称です。具体的には、「機密性」「完全性」「可用性」の3要素を対策基準の大枠として設定し、それぞれの観点から情報資産の安全性を強化します。そして、組織が保有する情報資産をマルウェアや不正侵入などの脅威から保護するとともに、ITシステムの恒常的な稼働を担保することが、情報セキュリティ対策の目的です。

  • 機密性
    情報セキュリティにおいて機密性とは、データベースに蓄積された情報資産が外部に流出しない状態を意味します。情報の機密性が低い状態では、外部からの不正侵入や、内部の人間による意図的な情報流出といったセキュリティリスクが懸念されます。
  • 完全性
    情報セキュリティの完全性とは、収集・蓄積された情報が正確かつ最新に保たれている状態を意味します。情報の完全性が保たれていない場合、データの改ざんや重複、ファイルの破損などを招く要因となり、データの正確性や信頼性を担保できません。
  • 可用性
    情報セキュリティにおける可用性とは、ITシステムの安定稼働を確保し、データを常時使用できる状態に保つことを意味します。ITシステムの可用性が確保されていない場合、ネットワーク障害やサーバーダウンなどによって、事業活動に多大な支障が生じる可能性があります。

【参考記事】情報セキュリティって何?|国民のための情報セキュリティサイト

 

 

情報セキュリティに対する脅威と対策

ここでは、事業領域において想定されるセキュリティインシデントと、主な対策について解説します。

 

ウイルス感染への対策

コンピュータウイルスとは、コンピュータのファイルに寄生して増殖する不正プログラムです。「トロイの木馬」や「ワーム」などと同じくマルウェアの一種であり、ウイルスに感染するとファイルのプログラムを書き換えられたり、情報を窃取される被害が想定されます。

代表的な対策として挙げられるのが、ウイルス対策ソフトウェアの導入です。ウイルス対策ソフトウェアは、既知のマルウェアに類似するプログラムを自動的に検出して無力化します。そのほかにも、アプリケーションを最新のバージョンに保つ、スパムメールの添付ファイルを開封しない、安全性が低いWebサイトをフィルタリングする、といった対策も有効です。

 

不正侵入への対策

不正侵入とは、不正な手段を用いてコンピュータやファイルにログインする行為を指します。不正侵入は、顧客情報の窃取や個人情報の流出といった被害につながることはもちろん、ほかのシステムを攻撃する踏み台として利用される事例も少なくありません。

不正侵入を防止するためには、ID/パスワード管理の徹底や、職務分掌規定に基づくアクセス権限設定などの対策が必要です。また、LANとインターネットの間でネットワーク層を保護するファイアウォールの設置や、アプリケーション層の脆弱性を狙う脅威から情報資産を保護するWAF(Web Application Firewall)の導入、といった対策も求められます。

代表的な対策一覧は以下のようなものです。

  • ID・パスワード管理の仕組み化
  • アクセス権限の設定
  • ファイアウォールの設置
  • WAFの導入
  • アクセスログの取得と監視

また、不正侵入への対策としてWAFの導入も効果的です。WAFはWeb Application Firewallの略称でWebアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。Cloudbric WAF+(クラウドブリック・ワフプラス)では、WAFサービスや脅威IP遮断サービスなどWebセキュリティに必要な5つのサービスを統合的に提供します。

【関連記事】クラウド型WAFサービス cloudbric WAF+

 

情報漏えいへの対策

情報漏えいとは、組織のデータベースに蓄積された情報資産が外部に流出することです。ウイルスや不正侵入による機密情報の漏えいや、内部の人間による意図的なデータの流出といった被害が想定されます。

情報漏えいを防ぐためには、情報管理における仕組みを整備し、そのルールを遵守する経営体制を構築しなくてはなりません。そのためには、ウイルス対策ソフトやファイアウォールなどを導入するだけでなく、顧客情報や製品開発情報といった機密情報の取り扱いに関するルールの策定が求められます。また、廃棄した物品から情報漏えいにつながるケースもあるため、PCやHDD、資料などの廃棄ルールを整備する必要があります。またWAFも情報漏えいの対策として効果的です。WAFでは個人情報の漏えいに繋がるOSコマンドインジェクションの脆弱性を悪用した攻撃に対して防ぐことができます。

代表的な対策一覧は以下のようなものです。

  • ウイルス対策ソフトやファイアウォールの導入
  • ID/パスワード管理やアクセス権限設定の最適化
  • データガバナンスの整備
  • 情報セキュリティに関する社員教育
  • 機器や資料などの廃棄ルールを徹底する

 

災害などによる機器障害への対策

地震大国と呼ばれる日本では、いかにしてITインフラの可用性を確保するかが重要課題です。たとえば、地震や火災などによってサーバーがダウンした場合、業務に支障をきたすのみならず、情報漏えいによる信用の失墜や損害賠償請求、売上機会の損失、株価の下落、ブランドイメージの低迷といった損害を招きかねません。

こうした事態を回避するためには、サーバーの冗長化やバックアップ環境の整備、ファイルサーバーのクラウド移行、予備電源の確保、データセンターの安全管理といった対策が求められます。また、災害発生時における復旧マニュアルを策定し、有事の際に柔軟かつ迅速に対応できる体制を整えることも大切です。

代表的な対策一覧は以下のようなものです。

  • サーバーの冗長化
  • バックアップ環境の構築
  • ファイルサーバーのクラウド移行
  • 予備電源の確保
  • データセンターの安全管理

 

 

情報セキュリティ対策のポイント

事業領域における情報セキュリティ対策を整備する際は、いくつか押さえるべきポイントが存在します。なかでも重要なポイントとして挙げられるのが、以下の3点です。

 

システムを最新の状態にする

現代はデジタル技術や情報通信技術の進歩・発展に伴い、マルウェアや不正侵入といったサイバー攻撃の手口も年々巧妙化かつ多角化していく傾向にあります。このような脅威から組織の情報資産を保護するためには、最新かつ最適なシステムを導入することが重要です。自社で導入しているシステムが適切か見直しを行い、それらが最新かどうかを確認しましょう。さらに導入したOSやソフトウェア、アプリケーションなどを常に最新バージョンに保つことが大切です。

 

テレワークへの対応をする

近年では、働き方改革の推進や新型コロナウイルスなどの影響により、テレワーク制度を導入する企業が増加傾向にあります。テレワーク環境では、オフィス外から社内ネットワークにアクセスする必要があり、リモート型の遠隔勤務に対応したセキュリティ体制を確立しなくてはなりません。安全かつ高速なファイル共有基盤を構築する必要があるため、ファイルサーバーのクラウド移行や仮想デスクトップ基盤の導入を検討するとともに、データガバナンスの整備やセキュリティガイドラインの策定といった施策が求められます。

 

従業員へ教育と管理を行う

情報セキュリティを強化するためには、マルウェアのような外部環境への対策だけでなく、人材のITリテラシー向上やデータガバナンスの策定といった内部環境の整備が欠かせません。そのためには、情報セキュリティに関する研修や教育制度を確立し、従業員一人ひとりが情報漏えいの事例やサイバー攻撃の手口などを学ぶ必要があります。そして、意図的な情報の持ち出しを防止する仕組みを整備し、そのルールを遵守する企業文化を醸成することで、組織全体における情報セキュリティの強化に寄与します。

 

まとめ

情報セキュリティとは、「機密性」「完全性」「可用性」の3要素に基づいてセキュリティリスクを分析し、組織の情報資産を保護するとともに、ITシステムの継続的な稼働を担保する一連の施策です。

事業活動ではIT化の進展に伴って、「ウイルス感染」「不正侵入」「情報漏えい」「機器障害」などのセキュリティリスクが想定されます。したがって、ウイルス対策ソフトやWAFの導入、アクセス権限設定の最適化、OSやソフトウェアのアップデート、サーバーの冗長化といった対策が必要です。

そして同時に、従業員への教育制度やデータガバナンスを整備することで、組織全体における情報セキュリティの強化につながります。

 

WAFの必要性_お知らせTOP

ホワイトペーパー公開!「多様化するサイバー攻撃から企業を守るWAFの必要性」

WAFの必要性_お知らせTOP

WebサイトおよびWebアプリケーションは、ビジネスシーンにおいて欠かせないものです。
一方で、Webアプリケーションを狙ったサイバー攻撃は激化の一途をたどっており、効果的なセキュリティ対策としてWAF(Web Application Firewall)が注目されています。

本資料では、企業のセキュリティを万全に保ちたいIT・セキュリティ担当者の方向けに、サイバー攻撃の事例からWAFの導入目的・効果までを解説しておりますので、ぜひ一度ご覧ください。

▼ホワイトペーパー「多様化するサイバー攻撃から企業を守るWAFの必要性」ダウンロードはこちら
https://www.cloudbric.jp/dl-wp-waf/

 

▼製品・サービスに関するお問い合わせはこちら
https://www.cloudbric.jp/inquiry/

▼Cloudbirc WAF+の無償トライアルはこちら
https://www.cloudbric.jp/free-trial/

▼パートナー制度のお問い合わせはこちら
https://www.cloudbric.jp/partners/

ランサムウェア

盲点を突いてくるランサムウェアの脅威認知と企業での対応策を解説

ランサムウェア

日本国内では連日サイバー攻撃による被害が報告されていますが、その中でも特にランサムウェアによる被害が急増しています。警視庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害は21年上半期が61件だったのに対し、22年上半期は114件と倍近く報告されています。そこで今回はランサムウェアの被害の実態とその被害から学び取れるセキュリティ対策について解説します。

 

ランサムウェアとは

昨今、日本国内で多くの企業に被害を及ぼしているランサムウェアとはそもそも何でしょうか。
ランサムウェアとは、企業のシステムなどへ不正に侵入し、重要なデータやファイルを暗号化し、暗号解除のためのパスワードを知りたければ身代金の支払いを要求するサイバー攻撃の一種で、日本語では身代金要求型ウイルスとも言います。ランサムウェアに感染してしまうと、会社システムに多大な影響を及ぼし、業務全体がストップしてしまう可能性もあります。また身代金を支払ったとしてもパスワードを教えてくれる確証はないため、感染後の対応が非常に困難なサイバー攻撃の1つです。最近ではDDoS攻撃の脅威を追加した「三重脅迫型」攻撃も増加しており、企業としても避けたいサイバー攻撃と言えます。

 

日本国内でのランサムウェアの被害状況

前述のとおり、日本国内ではランサムウェアによる被害報告が前年度と比べ、倍近く報告されています。また全世界に目を向けてみると全サイバー攻撃中、ランサムウェア攻撃が占める割合が20%と高い比率をしめており、その被害総額も200億ドルと甚大な被害を及ぼしています。ランサムウェアに感染してしまうと、業務にも多大な影響を及ぼしかねず、最近ですと、日本国内でも複数の医療機関がランサムウェアのターゲットとなり、甚大な被害を被っています。次の内容で実例を紹介しながら、どのような被害があったのか見てみましょう。

大阪急性期・総合医療センター

大阪急性期・総合医療センターとは、大阪市住吉区にある地方独立行政法人の医療機関です。病床数は865床と多く、急性期医療から高度な専門医療に対応しています。この施設は大規模で幅広い医療に対応していて、かつ大阪府内に3ヶ所しかない高度救命救急センターであり重要な施設になります。

サイバー攻撃の内容

この施設は、2022年10月31日に、ランサムウェアによるサイバー攻撃を受けました。
当時、サーバ上の画面に英文脅迫メッセージが確認されており、脅迫文には暗号化したファイルを復号したければビットコインでの支払いを要求する旨が記載されていたとのことです。同センターは要求には応じず、今後の対応については厚生労働省などと協議するとし、また政府からもソフトウェア協会の専門家3名を現場に派遣し、調査を実施しています。この攻撃の影響で 1週間経過しても、電子カルテシステムが復旧できず、緊急以外の手術や外来診療は一時停止する事態となりました。完全復旧のめどとしては2023年1月を予定しているとのことです。

なぜランサムウェア攻撃を仕掛けられたのか?

ランサムウェア攻撃の被害調査にあたり、同センターが委託していた給食提供サービス「ベルキッチン」の事業者であるデータセンター内サーバーを通じ、侵入された可能性があることが判明しました。同センターの電子カルテのオーダリングシステムで食事内容等の食事情報に関係する発注が行われ、院内の給食関係システムに情報集約後、ベルキッチン宛てに送信される構造でした。サーバ間はベルキッチン側の仕様で、攻撃自体はVPN機器に対して行われており、ソフトウェアの更新も行われていない脆弱な状態が悪用された可能性が指摘されています。同センターは徳島県つるぎ町立半田病院と同一機器を使用しており、半田病院もランサムウェア攻撃の被害を受けるに至りました。

徳島県つるぎ町立半田病院も標的に

前述のとおり大阪急性期・総合医療センターでの事件に付随して、2021年10月に徳島県のつるぎ町立半田病院 でもランサムウェアによる被害が報告されています。同じく電子カルテシステムで患者情報を確認出来なくなり、診療報酬の請求も止まりました。大阪市の病院と同様に、新規患者受け入れ停止など業務の大幅な制限を余儀なくされ、対策を比較検討した結果、新規のサーバーに同様のシステムを構築する対策を実施しました。その対策に要した概算費用は2億円にのぼりました。

 

2つの被害の共通点

こちらの2つの事例にはある共通点があります。それは両病院とも同じ会社が提供するVPNを使用していた点です。システムがアップデートされておらず、その脆弱性をつかれ攻撃の対象となりました。VPNは低コストで拠点間通信が可能であることから、企業のセキュリティ対策の一環として広く普及しています。ただし、VPNの種類によっては、セキュリティレベルに差があるため、今回の事例のように情報漏洩のリスクが完全にゼロではありません。VPNの構造自体にはセキュリティがある程度確保されていますが、企業がVPNを導入し利用するにあたり、利用方法が難しく正しく活用できていなかったり、アップデートの不十分やVPNの認証が1段階などの要素がサイバー攻撃の抜け穴となる可能性があります。そのためVPNを導入して終わりではなく、ユーザが簡単に利用でき、また多要素認証を導入しセキュアなシステム構築などが企業に求められます。

 

まとめ

ランサムウェアは企業に多大な被害をもたらすため、企業等では事前に対策を講じ、回避することが重要なポイントとなってきます。そこでお勧めしたいのが「Cloudbric RAS」です。Cloudbric RASはVPNを構築せず、 DNS情報の変更のみで手軽に導入 ができ、安全な社内システムへのアクセスを提供します。またユーザは特別な操作をする必要はないためトレーニングなどは必要なく、また Google OTP及びメールアドレス認証を行うことで「二要素認証」を実現し、よりセキュアな環境を提供します。外部からの社内システムアクセスに係わるセキュリティ懸念点の払拭には、ぜひCroudbric RASの導入をご検討ください。

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

 

MFA、MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

クラウドサービスやテレワークが普及し、企業や従業員が外部から社内の機密情報にアクセスする機会が増えつつあります。利便性が高まっていることは確かですが、不正アクセスなどのリスクについても考え直さなければなりません。アプリケーションやシステムにおいて、情報へのアクセス権限を確かめる認証機能は、セキュリティ対策として最も基本的な仕組みの1つです。ここでは、認証の方式として近年注目されているMFA(「多要素認証」)について解説し、なぜMFAが必要なのか、MFAを使ってセキュリティをさらに強化するためのポイントについて解説します。

 

MFAとは

MFAは、複数の要素を組み合わせて認証を行うことでなりすまし等の被害を防ぐセキュリティ対策の1つです。ここではMFAの概要について、より詳しく解説していきます。

MFAの定義

MFAは「Multi-Factor Authentication」の略称で、日本語では「多要素認証」と言われます。アプリケーションやシステムにおいて、アクセスを試みているユーザが正規のユーザかどうかを確かめることを「認証」と言います。MFAはその認証の中でも、複数の要素を用いて認証する仕組みのことを指しています。

MFAが成立するためには、次の3つの要素のうち、2つ以上を組み合わせる必要があります。
・知識情報(パスワードや秘密の質問など)
・所持情報(ICカード、スマートフォンなど)
・生体情報(指紋、声紋、虹彩など)

「知識情報」は、その人が「知っている」情報のことです。パスワードや秘密の質問への答えなど、正規の利用者しか知らないはずの情報を使って認証します。

「所持情報」は、その人が「持っている」情報のことです。ICカード内のチップや、スマートフォンのようなモバイル端末など、正規の利用者しか持っていないはずの情報を使って認証します。

「生体情報」は、その人が「どのような身体的特徴を持つか」を示す情報です。指紋や虹彩といった、人によって異なる身体的特徴を使って認証します。

MFAは、これら3要素のうち2要素以上を使った認証を指します。異なる要素を2つ以上必要とするため、なりすましのリスクが大きく下がるのが特徴です。

二段階認証との違い

「MFA(多要素認証)」と似た言葉として、「二段階認証」という認証方式があります。二段階認証は、要素の違いを問わず、2回のチェックを行う認証方式のことです。例えば、「パスワード」の入力を求めた後で「秘密の質問」による認証を行う、という仕組みは「二段階認証」です。パスワードも秘密の質問も同じ「知識情報」のため、多要素ではありません。多要素認証は、あくまでも異なる要素を組み合わせなければなりませんが、二段階認証は要素の違いは考慮せず、ただ「2回認証する」ということだけに着目した認証方式です。

ゼロトラストとの関係

MFAは、ゼロトラストによるセキュリティを実現するための認証方式として採用され始めています。近年では、「ゼロトラスト」というセキュリティの考え方があります。「ゼロトラスト」とはネットワークの内外やデバイスを問わず、「何も信頼しない」ことを前提としてセキュリティ対策を講じる、という考え方のことです。内部のネットワークやデバイスを信頼しないため、より厳格な認証方式としてMFAが利用されているのです。MFAはゼロトラストによるセキュリティを実現するための方策の1つとして、多くの場面で採用され始めています。

 

MFAで使われる認証方式の例

MFAには様々な例があります。実際にMFAでよく使われる認証方式の例について解説します。

ワンタイムパスワード(知識情報・所持情報)

1つ目は「ワンタイムパスワード」です。IDとパスワードを入力した後で、ユーザのデバイス宛てにワンタイムパスワードを送信し、そのワンタイムパスワードの入力によって再度認証します。ID・パスワードという「知識情報」と、デバイスという「所持情報」を使った多要素認証です。

デジタル証明書(知識情報・所持情報)

2つ目は「デジタル証明書」です。あらかじめ特定の端末に証明書をインストールしておき、パスワード等の情報と共に認証を行います。特定の端末からしかアクセスできないため、より厳密な端末管理ができます。パスワードをはじめとする「知識情報」と、証明書をインストールした端末という「所持情報」を利用した多要素認証です。

リスクベース認証

3つ目「リスクベース認証」です。厳密には、リスクベース認証は多要素認証の一種ではありませんが、リスクベース認証のために多要素認証が使われるのが一般的です。リスクベース認証とは、普段と異なる場所や時間・デバイスでのアクセスが試みられた際に、パスワード等による通常の認証に加え、さらに追加での認証を要求する認証方式を指します。常に多要素認証を要求するよりも利便性が高い、というメリットがあります。追加での認証の際にはワンタイムパスワードを利用するなど、パスワード等の知識情報とは別要素での認証がより効果的です。

 

 MFAの必要性

そもそも、MFAはなぜ必要なのでしょうか。ここでは、MFAの必要性と役割について解説します。

なぜMFAが必要なのか

MFAは、セキュリティを強化するために必要な仕組みです。パスワードのみによる従来の認証方法は、パスワード管理の甘さやブルートフォース攻撃などによる不正アクセスのリスクが高く、扱う情報によっては不十分なセキュリティ対策でもあります。MFAは、1つの要素による認証を突破されただけでは情報漏えいに至らないため、特に扱う情報の重要性が高い場合は、強固なセキュリティを築くために必要と言えます。

MFAは企業の情報資産を守れる?

MFAは、企業の情報資産の保護につながることが期待されています。企業では、多くの重要な情報資産を扱うため、個人よりも強固なセキュリティを構築しなければなりません。近年ではリモートワークなどの普及に伴い、外部から企業内部のシステムやネットワークにアクセスする機会も増えています。そうした事態の変化に伴い、企業に求められるセキュリティのために、MFAの導入を検討すべき事例は増えているでしょう。

 

MFAでのセキュリティを強化するためのポイント

MFAがセキュリティ対策として効果があるとは言っても、ただMFAを導入すれば良いという訳ではありません。ここでは、MFAでセキュリティをさらに強化するためのポイントについて解説します。

パスワードポリシーの強化

MFAをはじめ、パスワードを使ったあらゆる認証方式では、パスワードポリシーを強化することが大切です。具体的には、「最低8文字以上」「英大文字小文字・数字・記号のうち3種以上を使用する」「IDと同一の文字列は利用不可」といった形で、推測されにくいパスワードポリシーを設定し、定期的な変更を義務付けることが大切です。

情報の使いまわしを避ける

パスワードのように、認証情報の使いまわしを避けることもポイントです。複数のサービスで同じパスワードを使いまわすと、一つのサービスから情報漏えいがあった場合に他のサービスでも不正アクセスにつながる可能性が高まります。企業では社員教育を徹底し、複数のサービスで認証情報を使いまわさないように注意すると良いでしょう。

端末やパスワード管理の徹底

MFAは、複数の要素での認証によって不正アクセスを防ぐ仕組みです。そのため、パスワードの流出や端末の紛失などが万が一あったとしても、即座に不正アクセスにつながるとは言い切れません。しかし、強固なセキュリティを維持するためには、パスワードや端末を厳重に管理しなければなりません。MFAだからと油断せず、厳重な管理や社員教育が大切です。

 

まとめ

MFA(「多要素認証」)は、知識情報、所持情報、生体情報の3つの要素のうち、2要素以上を組み合わせて認証する認証方式です。単一の要素のみでの認証に比べてセキュリティを強化できるため、機密情報へのアクセスの際などに導入することをおすすめします。
MFAを始めとするセキュリティ対策を施す際には、専門家の手によるサービスを利用するのがおすすめです。MFAを実現するのにおすすめのソリューションが「Cloudbric RASです。ゼロトラストを基盤としたセキュリティプラットフォームで、セキュアな認証を実現できます。また、ユーザも管理者もブラウザベースで利用できるため、利便性にも優れています。WAFソリューション「Cloudbric WAF+」との併用でさらにセキュリティを強化できるため、Webアプリケーションを利用している企業での導入が特におすすめです。

改正個人情報保護法メインイメージ

ホワイトペーパー発行開始!改正個人情報保護法における6つの改正ポイント~企業に求められる対応とは~

改正個人情報保護法

IT技術の発展と伴い、様々な情報がインターネットを介にしてやり取りをされるようになりました。その中でも、企業における個人情報を適切な管理は、信頼に関わる重要な問題です。そんな個人情報に関して2022年4月には「改正個人情報保護法」が施行され、個人情報の取扱いに対する厳格な規定が明記されました。

今回、ペンタセキュリティが作成したホワイトペーパーでは、改正個人情報保護法の概要と、今後、企業に求められる対策について詳しく解説しています。まだ、どのような対策を実行すればいいかわからない方や対策導入を検討している方にお役に立つ資料になると思われますので、是非ご活用してください。

ホワイトペーパーのダウンロードはこちらのページからお申込みできます。

 

セキュリティアワード金賞4冠受賞

クラウドブリック、Cybersecurity Excellence Awards 2022にて金賞4冠獲得!

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(英文社名:Cloudbric Corp. 代表取締役:鄭 泰俊、http://139.162.127.206/jp)は、Cybersecurity Excellence Awards 2022にて金賞4冠達成及び銀賞5つを受賞しました。それに加え、ペンタセキュリティシステムズ株式会社も2部門で金賞と銀賞を受賞し、合計11部門での受賞となります。

セキュリティアワード金賞4冠受賞

今回、クラウドブリックは、「Best Cybersecurity Startup」「Web Application Security」「Zero Trust Security」「Website Security」部門で金賞を受賞いたしました。Cybersecurity Excellence Awardsにおいては、2018年以来4年ぶりの受賞となります。2015年リリースした「Cloudbric WAF+」はサービス高度化に取り組み、WAAP(Web Application and API Protection)として一層強化されたWebセキュリティ対策を提供している点、そして2020年リリースした「Cloudbric RAS」においてはリモートワークの拡大で注目されるゼロトラストセキュリティ対策という点で、国内だけではなく、世界中の専門家たちにサービスの優秀さを高く評価されました。

「Web Application Security」と「Website Security」部門で金賞を受賞した「Cloudbric WAF+」は、独自開発した論理演算検知エンジンと特性学習AIエンジンを搭載し、エンタープライズ級のWebセキュリティを提供しています。このサービスはWAF機能を含め、DDoS対策、脅威IP遮断、悪性Bot遮断機能まで提供しており、総合的なセキュリティ体制を整えることができます。

「Zero Trust Security」部門で金賞を受賞した「Cloudbric RAS」は、DNS変更で導入できる最も簡単かつ安全なクラウド型ZTNA(Zero Trust Network Access)サービスです。このサービスは「End To Endのゼロトラストセキュリティ環境」を提案し、セキュアに企業システムへアクセスをサポートすることで、管理性・利便性とセキュリティを両立させるサービスです。

金賞受賞に加え、「Cloud Security」「AWS Cloud Security」「Cybersecurity-as-a-Service (CSaaS) 」「Managed Security Service」「Best Cybersecurity Company」部門で銀賞を受賞し、合計9部門での受賞となりました。いつも弊社を応援して下さるお客様及びパートナ様に心より感謝申し上げます。これからもより良いサービスの提供ができるように最善を尽くしてまいります。

▶金賞受賞の詳細内容はこちらをご覧ください。
Zero Trust Security
https://cybersecurity-excellence-awards.com/candidates/best-zero-trust-security-cloudbric/

Website Security
https://cybersecurity-excellence-awards.com/candidates/best-website-security-cloudbric/

Web Application Security
https://cybersecurity-excellence-awards.com/candidates/best-web-application-security-cloudbric/

Best Cybersecurity Startup
https://cybersecurity-excellence-awards.com/candidates/best-cybersecurity-startup-cloudbric/

■Cybersecurity Excellence Awardsについて
サイバーセキュリティエクセレンスアワードは、情報セキュリティ分野で優越性、革新性、リーダーシップを証明する個人、製品、企業に賞を与える授賞式です。この授賞式は50万人を超えるサイバーセキュリティ専門家の豊富な経験を活用して、世界最高のサイバーセキュリティ製品、専門家、組織を投票で選定し、授賞しています。

▶授賞式の詳細はこちらをご覧ください。
https://cybersecurity-excellence-awards.com/

▶受賞した製品情報はこちらをご覧ください。

Cloudbric WAF+

Cloudbric RAS

Cloudbric WMS

▶ペンタセキュリティシステムズ株式会社の受賞についてはこちらをご覧ください。
https://www.pentasecurity.co.jp/notice/cybersecurity-excellence-awards-2022/

web_攻撃_動向

2021年上半期Webアプリケーション脅威解析レポート公開

WATTレポート(最新Webアプリケーション脅威解析レポート、Web Application Threat Trend Report)はアジア・パシフィック地域のマーケットシェア1位を誇るWAFの「WAPPLES」とクラウド型WAFサービスの「Cloudbric WAF+」の検知ログをペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が共同分析した結果をまとめたものです。

セキュリティ担当者に向けた最新のWeb脅威情報を提供していますので、ぜひ参考にしてください。

 

WATTレポートのダウンロードをご希望の方は、以下のリンクをクリックしてください。

[tek_button button_text=”WATT Report ダウンロード” button_link=”url:report-download/” button_position=”button-center”]

 

web_攻撃_動向

2020年上半期の最新Webアプリケーション脅威解析レポート公開!

WATTレポート(Web Application Threat Trend Report)はアジア・パシフィック地域のマーケットシェア1位を誇るWebアプリケーションファイアウォールの「WAPPLES」とクラウド型WAFの「クラウドブリック」を通じて収集された2020年1月1日から2020年6月30日までの検知ログをペンタセキュリティシステムズとクラウドブリック株式会社が共同分析した結果をまとめた最新Webアプリケーション脅威解析レポートです。

2020年上半期のWATTレポート、三つの注目ポイントをご紹介します。

 

1. 年2回発行でより早く最新の動向を提供

年に1回公開してきたWATTレポートを今年からは、上半期と下半期の2回にわたって発刊致します。継続的な研究と分析を通じて情報をアップデートし、最新攻撃動向をご提供させて頂きます。

2. グロバル規模で観測した攻撃動向を把握

今年からは、ペンタセキュリティのWAF「WAPPLES」の検知データに加え、全世界で利用されるクラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック」の検知データも一緒にまとめて分析することになりました。より大容量かつ多様なデータを扱うことになり、ウェブ攻撃に対する予測精度を一段と向上させました。

3. 多様なカテゴリーに分けて分析、より豊富な内容を提供

「WAPPLES・クラウドブリック」の検知ルールに基づいて多様なカテゴリー別の分析結果を作成しました。検知ルール・国家・産業別など、各種のウェブ攻撃動向が 一目瞭然にした統計情報で掲載されています。今回「OWASP TOP 10別ウェブ攻撃動向」、「目的別ウェブ攻撃動向」を新しく追加し、更に多様な観点からの分析結果をご提供致します。特に、 全世界のセキュルティ専門家がセキュリティ脆弱性の診断基準と標準を確立するコミュニティー「OWASP」から発表される「OWASP TOP 10」を「WAPPLES・クラウドブリック」の分析結果を徹底比較して資料の信頼性をさらに高めました。

 

WATTレポートのダウンロードをご希望の方は、以下のリンクをクリックしてください。

脆弱性分析レポート