全3463文字
PR

 企業が競争に打ち勝つために必要不可欠になっているのが、データの活用である。さまざまなクラウドサービスの登場により、それが容易になっている。またテレワークが本格的に普及し、場所を選ばない働き方が実現しつつある。

 日進月歩で便利になるITの世界だが、多くの企業はその便利さにサイバーセキュリティーの備えが追いついていないのが実情だろう。現に不正アクセスによるデータの流出やマルウエアによる被害が、毎日のように世間を騒がせている。

 このコラムではそんな令和時代のサイバーセキュリティーの在り方について、企業の情報システム部門専門のコンサルタントとして活動している筆者が、経験を基に解説する。注目されているセキュリティーの考え方やサイバー攻撃に強い組織作り、クラウドサービスの安全な活用方法などを取り上げていく予定だ。

 第1回は「サイバーハイジーン」について解説する。ハイジーン(hygiene)とは日本語で「衛生」を意味する。サイバーハイジーンとはITにおける衛生管理、つまりIT環境を健全なセキュリティー状態に保っておくことだ。サイバーハイジーンを取り上げるのは、日々手を変え攻め込んでくる攻撃者や組織内のリスクから「情報資産」を守るために有効なアプローチだからだ。なおここでの情報資産とは、企業の独自技術に関する情報や顧客リストなど価値のある情報や、それを取り扱うためのハードウエアやソフトウエアといったシステムの構成要素を指す。

用語を正確に理解する

 サイバーハイジーンを知るに当たり、最初に理解しておくべき用語がある。「脅威」「脆弱性」「リスク」の3つだ。どれも日ごろITやサイバーセキュリティーに携わる人にとっては聞き慣れた用語だろうが、その意味を正確に理解できているだろうか。

 まず脅威とは情報資産に影響や損害を与える要因のことだ(図1)。脅威は大きく3つに分けられる。1つ目は「意図的脅威」だ。Webサイトの改ざんなど、組織の外部の人間による悪意ある攻撃がこれに当たる。組織の人間が情報資産を不正に持ち出して悪用するといった内部不正も意図的脅威である。

図1●脅威と脆弱性の種類
図1●脅威と脆弱性の種類
脅威は情報資産に影響や被害を与える要因、脆弱性はセキュリティー上の欠陥のこと。それぞれ大きく3種類ある。
[画像のクリックで拡大表示]

 2つ目は「偶発的脅威」だ。組織の人間がルールを守らず外部に持ち出したパソコンや外部記録媒体が盗まれたり、管理者の操作ミスにより情報資産を漏洩したりするケースがこれに該当する。漏洩させた本人が「わざとじゃない」「そんなつもりはなかった」と思うようなものが偶発的脅威だ。

 3つ目は「環境的脅威」である。地震や台風、落雷、火事といった自然災害が原因で情報資産にアクセスできなくなったり、情報資産が消失したりするケースがこれに当たる。

脆弱性はセキュリティー上の欠陥

 次に脆弱性について説明しよう。脆弱性とは、情報の漏洩や消失といった被害を発生しやすくしたり、拡大させたりするようなセキュリティー上の欠陥のことだ。

 脆弱性も大きく3つに分けることができる。1つ目は「ソフトウエアの脆弱性」だ。開発者の意図しない動きを可能にする欠陥を指す。メールやWebサイトを開くなどの単純な操作でマルウエアに感染したり感染が広がったりするのは、ソフトウエアの脆弱性が原因だ。ソフトウエアが肥大化および複雑化している現在では、ソフトウエアの多くに何らかの脆弱性が存在している。

 2つ目は「文書管理や運用体制の脆弱性」だ。組織が持つ操作手順書が更新の不備で使い物にならなかったり、事故対応の体制に不備があり有事に機能しなかったりするケースが該当する。

 3つ目は「環境的な脆弱性」である。オフィスやデータセンターが天災に見舞われ機能しなくなるケースや、環境が整わない状態でリモートワークに切り替えたことで情報資産にうまくアクセスできず業務が継続できないケースなどがこれに当たる。