サイバーセキュリティとは何か?
サイバーセキュリティとは、盗難アラームが企業の物的資産を盗難から防ぐように、バーチャルな盗難からビジネスを保護する仕組みです。
製造業やマーケティングなど、業界を問わず、ネットワークに接続されたデバイスは、今日の業務の遂行に欠かせない存在となっています。その一方で、これらのデバイスは、権限のない者がネットワークや重要な情報にアクセスできる潜在的な経路ともなり得ます。データ漏えいは、企業に甚大な損害をもたらします。インシデント1件あたりの平均コストは4.24万ドルに達しているという報告もあります。強力なサイバーセキュリティプランを策定してシステムのギャップを解消し、セキュリティ上の問題に遭遇する危険性を回避しなければなりません。
サイバーセキュリティは、英語では cybersecurity または cyber security と表記される
サイバーセキュリティは、英語では「cyber security」または「cybersecurity」と表記されます。意味は同じで、企業のデータを潜在的なセキュリティ侵害から守ることの重要性に変わりはありません。
サイバーセキュリティはなぜ重要なのか?
サイバーセキュリティは、企業の損失を防ぐために施行されます。2021年のセキュリティ侵害1件あたりの平均損失額は前年を17%上回り、過去17年間で最高となりました。この増加は、リモートで働く人が増えたことに起因しています。リモートワーク、すなわちリモートデバイスからの侵害による損失は、それ以外の経路からの侵害による損失を平均107万ドル上回っていました。
いかにしてデータを保護するかは、企業の財務面の健全性に影響する重要な課題です。今日のビジネスは、ネットワーク接続なしには成り立ちません。各従業員が、それぞれのデバイスからネットワークに安全にログインし、データへの攻撃のリスクを回避できるような、強力なサイバーセキュリティプランを策定する必要があります。
攻撃者は過去の失敗から学習し、より巧妙な攻撃を仕掛けてきます。そのため、セキュリティ対策は常に見直して強化する必要があります。また、内部脅威に関しては、従業員、元従業員など、組織の関係者がデータ侵害の要因になり得ます。企業は、常に最新の脅威と防止方法に注意を払い、あらゆるタイプのセキュリティ脅威を防止し、対応策を維持しなければなりません。
サイバーセキュリティの領域
ハッカーからシステムを守る方法を考えるとき、多くの人がネットワークのことだけを思い浮かべます。しかし、ネットワークは、業務を遂行するためのシステムの一要素に過ぎません。アプリケーション、情報、データストレージシステムなど、攻撃から保護する必要のある他の領域についても考慮しなければなりません。
重要インフラのセキュリティ
ビジネスにおけるセキュリティの確保が、重要な社会インフラに直接影響を及ぼすことはないかもしれません。しかし、公益事業、公共安全、国家安全保障などの重要なサービスを提供する組織は、自己の資産と国民の安全を守るために、内部のセキュリティ対策を強化しなければなりません。米国国土安全保障省は、国家の運営に欠かせない重要な社会基盤を保護するためのガイダンスを提供しています。
クラウドセキュリティ
クラウドの利用は、ファイルへのリモートアクセスを可能にする最新の方法のひとつです。しかし、クラウドの利便性によってデータのセキュリティが損なわれることがあってはなりません。全てのコンテンツを保護し、許可されたユーザーだけがアクセスできるクラウドコンテンツ管理(CCM)システムを選ぶことをおすすめします。最善のクラウドセキュリティを実現するには、使用中、アップロード中、ダウンロード中、保管中のデータの暗号化が有効な手段となります。暗号化により、データはハッカーの攻撃から保護されます。
ネットワークセキュリティ
企業ネットワークは、企業内の全てのデバイスを相互に接続し、あらゆる共有プログラムへの接続を可能にします。強力なパスワードを使用して、無許可の個人がネットワークに侵入したり、ネットワーク内のデバイスにアクセスしたりしないように、無線ネットワークと有線ネットワークを保護する必要があります。
情報セキュリティ
情報セキュリティは、紙ベースの情報と仮想データの両方を保護することを目的としています。情報セキュリティの例としては、CCM で保存されたファイルを暗号化することや、顧客情報を保管する物理的なファイリングキャビネットを施錠して安全な部屋に置くことなどの方法が挙げられます。保護すべき機密情報には、顧客の財務情報、医療データ、顧客や取引先の連絡先情報、業務上の専有情報などがあります。
アプリケーションセキュリティ
Webベースのアプリケーションは、システムへの攻撃の入り口になるリスクがあります。コンピュータベースのソフトウェアも脅威となり得ます。ユーザー認証や機密データの暗号化などのセキュリティ機能が設計レベルで組み込まれたアプリケーションを採用することが重要です。
ディザスタリカバリ(DR)
ディザスタリカバリとは、地震や洪水などの自然災害を受けた後にデータを復元することを意味します。また、セキュリティ侵害を受けた後に企業データを復元することも意味します。ネットワークでデータ漏えいが発生し、企業情報が失われた場合に備える対策が必要です。一般的なディザスタリカバリの手法として、重要な情報を安全なリモートのサーバーに保存しておく方法が用いられます。サイバー攻撃を受けた場合に、生産性を低下させずに可能な限り迅速に業務を復旧させることをめざします。
ユーザーの教育
システムの安全性を確保するためには、ユーザーの教育が不可欠です。脅威の存在や防衛方法を知らない従業員は、不審なメールの添付ファイルを開く、ネットワークパスワードなどの企業データを不用意に共有するなどの行為を知らずに行ってしまい、ビジネスを危険にさらすおそれがあります。
例えば、 貴社の従業員が、業務用のメールとパスワードを使って他社のWebサイトにアカウントを作成したとします。そのWebサイトが侵害されると、ハッカーは、貴社の従業員のログイン情報も取得できることになり、貴社のビジネスを危険にさらされます。このようなビジネスのセキュリティ問題を防ぐため、全従業員に、強力なパスワードの設定、定期的な変更、複数のWebサイトで同一の認証情報を使用しないことなどを教育することが重要です。
ストレージのセキュリティ
データ保管システムは、暗号化によって情報をセキュアに保つ必要があります。ファイルへのアクセスは、信頼できるユーザーに限定しなければなりません。また、1つのファイルにアクセスしたユーザーが、他のファイルにアクセスできないように、ファイル単位でアクセス設定を行う必要があります。CCM システムの多くが、データのリモートストレージをサポートしています。ただし、個々のファイルやフォルダを保護する、高度なセキュリティ機能を導入することが重要です。
サイバーセキュリティの脅威の種類
ビジネスに対するサイバーセキュリティの脅威とは、ハッカーがシステムにアクセスする際に使用するさまざまな方法をさします。フィッシング、マルウェア、ランサムウェアなどがその例です。最も悪質なケースでは、企業がハッカーの要求に応じるまで、業務を停止させたり、貴重なデータをロックしたりすることがあります。企業が直面する潜在的な脅威と、時間の損失、データ漏えい、金銭的損失を防ぐために潜在的脅威を回避する方法について説明します。
フィッシング
フィッシング詐欺は、攻撃者が実在する企業や個人から来たように見せかけたメールを送信することから始まります。攻撃者は、例えば、商品の注文やログイン情報に関する問題があった場合に企業が送信するような内容の偽メールを送信します。メール本文には、対応のためのリンクが設定され、クリックを促すような文言が記載されています。メールを受け取ったユーザーがリンク先の偽サイトにアクセスすると、ログイン情報、クレジットカード情報その他の秘密情報の入力を求められます。
ソーシャルエンジニアリングと呼ばれるサイバーセキュリティの脅威も、同様に、ソーシャルメディアのアカウントを利用して人々に接触し、ログイン情報その他の重要なデータを収集しようとするものです。ハッカーは、被害者のビジネスネットワークなどのオンラインアカウントへのアクセスに、収集した情報を利用します。情報を他の事業体に販売することもあります。
マルウェア
マルウェアは、悪意のコードとも呼ばれ、ウイルス、悪意のあるデータファイル、トロイの木馬、ワームなど、さまざまな形態があります。これらの形態のマルウェアは、コンピュータやネットワークに損害を与え、業務を妨害し、悪意のある行為者によるファイルへのアクセスを許してしまうという事態を発生させます。業務用のコンピュータやネットワークがマルウェアに感染しないようにするには、業務用コンピュータで不正なファイルをダウンロードしたり、疑わしいメールの添付ファイルを開いたりしないよう、従業員を教育する必要があります。
ランサムウェア
ランサムウェアは、マルウェアの進化形です。ランサムウェアは、被害者が攻撃者に身代金を支払うまで、情報やデータの使用を不可能にする攻撃です。2021年、コロニアル・パイプライン社は、請求処理と社内業務用のネットワークに攻撃を受けました。この攻撃の結果、複数の州で深刻なガソリン不足に陥りました。同社は、攻撃者に440万ドルをビットコインで支払うことで攻撃を終息させました。
コロニアル・パイプライン社の従業員だけでなく、数百万人の人々に影響した事件でした。重要な社会インフラの運営に影響を及ぼすランサムウェアのインシデントは、甚大な損害をもたらします。社会インフラを担う企業は、自社だけでなく、顧客を守るためにも、ランサムウェアなどのサイバー攻撃を防ぐための対策を特に強化する必要があります。
中間者攻撃
中間者攻撃(man-in-the-middle attack)については、一般にはあまり知られていないかもしれません。しかし、これも大きな被害をもたらす危険性のある攻撃です。攻撃者が、安全でないネットワークにアクセスし、デバイスとネットワークの間でやり取りされる情報を傍受するというものです。この攻撃は、パスワード、財務情報、ユーザー名など、ネットワーク経由で送信される秘密データを密かに収集します。強力なパスワードを設定し、定期的に変更することで、ネットワークを保護し、攻撃を防ぐことができます。
高度な持続的脅威
高度な持続的脅威(advanced persistent threats: APT)は、中間者攻撃と共通する面があります。いずれも、ネットワークにアクセスした攻撃者は、システムに改変は加えずに情報を執拗に待ち続けます。APTの攻撃者は、ネットワーク上でのスパイ行為によって標的のデータを収集します。APT攻撃は、ネットワークコンポーネントの無効化を積極的に行うことがないため、通常は防御的なカウンター攻撃が発動しません。ネットワークへの不正アクセスを防止することで、APT攻撃のリスクを軽減できます。
インサイダーの脅威
インサイダーの脅威(内部関係者の脅威)は、サイバー脅威の中でも最も対処が難しい事例です。雇用主は従業員が自社のデータを盗もうとしているとは考えたくないというのが理由です。現従業員、元従業員、請負業者を含め、企業のネットワークにアクセスしたことがある人物なら誰でも脅威となり得えます。このような脅威は、攻撃者が認証情報を悪用して秘密情報にアクセスした場合に発生します。サイバーセキュリティのパッケージには、ゼロトラストインフラを備えたコンテンツクラウドのように、この種の脅威を想定したものもあります。しかし、多くの対策は外部からの攻撃を防ぐだけです。内部と外部両方の脅威からデータを保護するセキュリティ対策を導入する必要があります。
分散型サービス拒否攻撃
分散型サービス拒否(DDoS)攻撃は、過剰なトラフィックを使用してサーバーやネットワークを処理不能の状態に陥らせる攻撃です。このタイプの攻撃の多くは、複数のコンピュータが協調して攻撃を行います。
関連する攻撃として、サービス拒否(DoS)攻撃があります。Dos攻撃は、サーバーやネットワークに大量なデータを送り、正当なユーザーを締め出すものです。DDoS攻撃もDoS攻撃も、ユーザーがネットワークに再びアクセスできるようになるまで、企業に時間と生産性の損失をもたらします。
主要なサイバーセキュリティ技術とベストプラクティス
サイバーセキュリティ計画には、コンピュータ、ネットワーク、データを保護するための技術と、ベストプラクティスを従業員に周知するための教育を融合させる必要があります。システムを安全に保ち、攻撃から守るためには、人と技術の両方が不可欠です。
全受信メールをまず疑うよう従業員を教育する
従業員は、攻撃に対する最前線の防御壁として機能します。従業員向けのトレーニングの内容には、ネットワークセキュリティのエチケットに関する情報も含まれていることが必要です。従業員は、不審なメールの添付ファイルを開かないこと、社外の人物と認証情報を共有してはならないことを理解していなければなりません。また、安全なパスワードの作成方法を理解し、さらにパスワードを定期的に変更することで、アクセスの安全性を保つ必要があります。
ログインに多要素認証を使用する
多要素認証(MFA)では、システムにログインするユーザーの真正性を識別するために、2つ以上の方法が使用されます。例えば、ログインしようとするユーザーのメールまたは電話にコードを送信し、そのコードを第2の識別情報としてシステムに入力することを求めます。
MFAにより、ユーザー名とパスワードのみを知る人物がネットワークに不正にアクセスするリスクが低減します。アクセスするには、正規ユーザーの電話やメールへのアクセスが可能で、正しいログイン認証情報を持っていなければなりません。MFAを導入したネットワークやアプリでも、不正アクセスを減らすためには、強力なパスワードを使用すること、ユーザーが定期的にパスワードを変更することが必要です。
ファイアウォールを構築する
ファイアウォールは、ネットワーク外部への情報発信を制限することで、ユーザー情報を漏出させるウイルスなどによる悪意のあるトラフィックを防止します。多くのオペレーティングシステムにはファイアウォール機能が含まれています。ただし、ファイアウォールは、適切に構築してこそ役に立つものです。
デフォルトのパスワードとユーザー名を必ず変更する
デバイスやネットワークのデフォルトのパスワードやユーザー名をそのまま使用してはいけません。CIOおよびIT管理者を対象とした調査によると、自社のネットワークに接続されたデバイスでデフォルトのパスワードを使用しているケースが47%に及ぶことがわかりました。デフォルトのパスワードは脆弱で、ハッカーがネットワークにアクセスしようとする際に最初に試すパスワードの1つとなっています。パスワードを、推測されにくいユニークな英数字の言葉やフレーズに変更することで、ハッカーからシステムを守ることができます。
強力なパスワードを選ぶ
パスワードを強力にするには、英数字、大小文字、記号を組み合わせて、長めにすることです。ログインごとに変更されるパスワードも強力です。従業員には、業務用のメールに強力なパスワードを使用すること、複数のログインで同じパスワードを使用しないことを徹底させることが重要です。従業員が強力なパスワードを設定するのは、ある程度の手間がかかります。しかし、不正アクセスを防ぐという大きなメリットが得られます。
マルウェア対策ソフトウェアを導入し、常に最新の状態に保つ
ハッカーは常に手口を変え、新たな脅威を仕掛けてきます。IT部門は、全てのデバイスに最新のマルウェア対策ソフトウェアを導入し、最新の脅威を排除する必要があります。
コンピュータのソフトウェアを常に最新の状態に保つ
コンピュータやその他のデバイスのオペレーティングシステムやソフトウェアにも、マルウェアやその他の侵入からデバイスを保護するためのセキュリティ機能が実装されています。サイバーセキュリティの脅威から、全システムを守るために、システムを常に最新の状態に維持することが重要です。
不十分なサイバーセキュリティがもたらすリスクとは?
セキュリティ対策が十分でないと、重要なデータが不正アクセスのリスクにさらされます。例えば、顧客データが漏えいすると、違約金や罰金の支払い義務が生じるかもしれません。米信用情報会社のエクイファックス(Equifax)は、1億5,000万の顧客の秘密情報を含むデータベースの保護を怠ったとして、2019年に5億7,500万ドルの和解案に合意しました。これは金額的に特殊なケースかもしれません。しかし、罰金のリスクは常に存在します。同時に、失われた時間とセキュリティ侵害を修正するためのコストも避けられません。
データ漏えいは、企業にとって大きな損失となります。ネットワークやデバイスを安全に保つシステムを構築することで、セキュリティ障害による損失を回避し、コストを削減することができます。
サイバーセキュリティを強化するために何ができるか?
会社を攻撃やセキュリティ侵害から守るには、対策が必要です。対策は、ネットワーク、ソフトウェア、デバイスに最新のアンチウイルスソフトウェアやオペレーティングシステムのアップデートを導入する専門チームを作ることから始まります。従業員が不審なメールを識別できること、不審なメールや添付ファイルを開かないことを徹底させるトレーニングも、このセキュリティチームが担います。さらに、セキュリティトレーニングの内容を従業員に確実に定着させるための演習を実施する必要があります。
自社内で、攻撃されるリスクが最も高い領域を調べて、リスクの軽減に注力することが重要です。モノのインターネット(IoT)を通じて工場のデバイスが相互接続されている企業では、攻撃者がネットワークを通じて機械にアクセスするリスクがあります。ネットワークとデバイスを不正アクセスから保護することで、工場の生産性を維持できます。ファイルの保存や共有にCCMを使用している企業は、全てのデータを安全に暗号化するCCMサービスを選択する必要があります。
ネットワークおよびネットワーク内の情報を保護するには、ファイアウォールや暗号化されたCCMなどの技術ツールを使用します。ビジネスに対する脅威の動向を常に把握し、変化に対応できるよう、セキュリティ対策を適宜アップデートすることが重要です。
Boxのサイバーセキュリティ対策
Boxはセキュリティを重視しています。Boxのコンテンツクラウドは、貴社のコンテンツを攻撃者から隠そうとするだけではありません。Boxは、ゼロトラストインフラを構築し、組織の内外に潜む脅威からコンテンツを保護しています。Boxのシステムは、一元化されたレイヤーにより、企業データのコンプライアンスとセキュリティの管理をシンプルにしています。
コンテンツクラウドは、AES 256ビット暗号化を使用し、転送中、保管中、使用中のファイルを保護しています。さらに、追加の保護機能として、二要素認証とマルチレイヤーの電子透かしを採用しています。また、データ保護に関する各業界固有の要件にも容易に準拠できます。
前述以外のセキュリティ機能として、Box KeySafeとBox Shieldを提供しています。Box KeySafeは、必要に応じて暗号化キーの管理を可能にする機能です。Box Shieldは、潜在的な脅威を検知・分類することで、脅威を低減させる機能です。信頼できる統合アプリ企業とのパートナーシップにより、アプリと、アプリで作成または共有するデータに対するセキュリティレイヤーが追加されています。
Boxが提供するセキュリティ対策について
コンテンツクラウドは、お客さまのビジネスに、場所を問わずに利用できるセキュアな生産性ツールを提供します。ニーズにあうBoxの料金プランについてのご相談やデモのご用命を承っております。こちらのページからお気軽にお問い合わせください。Boxは、お客さまのデータのセキュリティをサポートします。ネットワークとデータをサイバー攻撃から確実に保護するために、貴社のサイバーセキュリティ対策の一部として、Boxのコンテンツクラウドを是非ご活用ください。
**Boxは、高度なプライバシー、セキュリティ、コンプライアンスを備えた製品とサービスの提供に尽力しています。ただし、このブログ記事で提供される情報に関しては、法的助言を提供することを意図しておりません。適用される法律の遵守を検証する際には、見込み顧客および既存顧客が自らデューデリジェンスを実施することを推奨します。