脱PPAPで本当に難しいのは、廃止することではなく、
情報技術 (IT) セキュリティとは、組織のシステム、データ、ネットワークを不正アクセスやサイバー攻撃の脅威から保護するための手段です。 その手段は、従業員のデバイスからクラウドインフラストラクチャまで、あらゆるものを保護するために作られたプロセス、ポリシー、技術など、多岐に及びます。 企業がますますデジタルシステムに依存するにつれ、機密性の高いビジネスデータを保護するほか、顧客の信頼を維持し、規制基準への準拠を確実にするためには、強力なITセキュリティ戦略が不可欠です。
以下では、ITセキュリティの詳しい解説と、企業がそれを実装する方法についてご紹介します。
重要なポイント
- ITセキュリティとは、組織のシステム、ネットワーク、データを不正アクセスやサイバー攻撃の脅威から保護する手段である。
- ITセキュリティ、情報セキュリティ、サイバーセキュリティは、よく同じ意味で使われるが、情報セキュリティは最も概念が広く、その中にITセキュリティとサイバーセキュリティという専門分野がある。
- 最も一般的なITセキュリティの脅威に、マルウェア、ランサムウェア、フィッシング、内部脅威があり、いずれも深刻な金銭的損失や業務への支障をもたらす可能性がある。
- 組織が実装できる最も効果的な防御策の例として、ゼロトラストセキュリティ、RBAC (ロールベースのアクセス制御)、PAMなどの強力なアイデンティティ管理が挙げられる。
- AIの普及によりサイバー犯罪者は、攻撃を自動化したり、説得力のあるフィッシングコンテンツを作成したりと、従来であれば多大なリソースと専門知識を必要とした作戦を大規模に展開できるようになったため、先手を打つセキュリティ対策がこれまで以上に重要である。
ITセキュリティ、情報セキュリティ、サイバーセキュリティの違い
ITセキュリティ、情報セキュリティ、サイバーセキュリティは同じ意味で使われることがありますが、それぞれの用語の意味は異なります。 主な違いについて、以下の表で説明します。
| IT security | Information security | Cybersecurity | |
|---|---|---|---|
| Definition | The protection of digital systems, infrastructure and networks from threats | The protection of all types of information from unauthorized access or data loss | The protection of internet-connected systems and data from online threats |
| Scope | Part of information security focused on technology systems | Covers all information (broadest scope) | A subset of information security focused on protecting systems and data connected to the internet |
| What it protects | Devices, servers, software, networks and stored data | Data, physical documents and intellectual property | Cloud environments, applications, data and networks |
| Threats addressed | Cyber attacks, system failures and unauthorized access | Data breaches, theft, insider threats and human error | Malware, phishing and ransomware attacks |
簡単に言うと、情報セキュリティとは、ITセキュリティとサイバーセキュリティを含む包括的な概念です。その中で、ITセキュリティとサイバーセキュリティはそれぞれ特定の領域に焦点を当てた分野です。 実際には、情報セキュリティは、サーバーや書類棚に保存されているファイルをカバーする企業のセキュリティポリシーのようなものです。ITセキュリティは、従業員のデバイス群に多要素認証 (MFA) を実施するIT部門のようなものです。サイバーセキュリティは、悪意のあるトラフィックが企業のアプリケーションに到達するのをブロックすることを指します。
ITセキュリティの3つの保護目標
あらゆるITセキュリティ戦略の中核に、CIAトライアドと呼ばれる、「機密性 (Confidentiality)」、「完全性 (Integrity)」、「可用性 (Availability)」という3つの基本的な目標があります。 これらの原則は、組織が導入するすべてのITセキュリティポリシーやセキュリティ対策の基盤となります。
- 機密性: 許可されたユーザーのみが機密情報にアクセスできるようにします。 この目標は、暗号化やMFAなどの対策を通じて、不正アクセスや誤用を防ぐことを目的にしています。 たとえば、医療機関は患者データを暗号化し、許可された医療従事者のみがアクセスできるようにする必要があります。
- 完全性: データの正確性と一貫性を維持し、権限のない第三者によってデータが改ざんされないようにします。 悪意によるものでも過失によるものでも、許可されていないデータの変更によりデータの完全性は損なわれてしまいます。 実際に銀行は、支払いが行われてから処理が完了するまでの間に、取引記録が改ざんされないことを保証するために、データの完全性に依拠しています。
- 可用性: システム、データ、ネットワークが、必要なときに、許可されたユーザーが確実に利用できるようにすることを保証します。 つまり、サービスの中断を未然に防ぐことと、万が一に備えて復旧計画を策定しておくことの両方を意味します。 たとえば、ハードウェア障害が起こってもオンラインプラットフォームがオンラインを維持できるよう災害復旧システムに投資している企業が挙げられます。
ITセキュリティの脅威: 最も一般的な攻撃の種類
最も一般的なサイバー攻撃の種類やITセキュリティの脅威を理解することは、組織がそれらに対する防御方法を学ぶうえで役立ちます。
マルウェアとランサムウェア
マルウェアとは、システムに侵入したり、損害を与えたり、不正アクセスしたりすることを目的に作られた悪意のあるソフトウェアです。 ランサムウェアは、マルウェアの種類の中でも最も被害が大きくなる部類です。サイバー犯罪者が組織のファイルを暗号化し、それらを利用できる状態に戻すための身代金を要求する攻撃です。 ランサムウェア攻撃が成功すれば、業務が混乱し、組織が重要なシステムから締め出され、深刻な金銭的損失を被るおそれがあります。
フィッシングとソーシャルエンジニアリング
フィッシング攻撃とは、信頼できる送信元になりすますことで、個人を騙してログイン認証情報などの機密情報を開示させる手口です。 フィッシングは、ソーシャルエンジニアリングの代表的な攻撃手法の一つです。ソーシャルエンジニアリングとは、セキュリティ上の脆弱性ではなく、人間の行動を悪用して不正アクセスを得る攻撃の分類を指します。 攻撃者は、人間の心理や行動にはソフトウェアのように簡単に修正プログラムを適用できないことを利用します。そのため、フィッシングは現在でもデータ侵害の最も一般的な侵入経路の一つとなっています。
内部脅威
内部脅威とは、現職または元従業員、契約社員、パートナーが組織のシステムやデータへのアクセスを悪用することを指します。 内部関係者はすでに機密情報や重要なシステムへの正当なアクセス権を持っているため、悪意によるものでも過失によるものでも、内部脅威は検出と封じ込めが特に難しい脅威です。
DDoS攻撃
分散型サービス拒否 (DDoS) 攻撃は、標的となったサーバー、ネットワーク、アプリケーションに大量のトラフィックを送り込んで機能不全に陥らせ、正規のユーザーが利用できないようにします。 この種の攻撃は、組織の評判を損なうことを目的として行われることが多く、また、別のサイバー攻撃を実行する間の撹乱作戦として使われることもあります。 顧客向けアプリケーションやオンラインサービスを提供する組織は、こうした種類の攻撃に対して特に脆弱です。
ITセキュリティの導入
現代のITセキュリティは、IDおよびアクセス管理 (IAM) に大きく依存しています。なぜなら、「誰が何にアクセスできるか」を管理することは、組織の攻撃対象領域を減らす最も効果的な方法の1つだからです。 従業員による社内アプリケーションへのログインであっても、管理者による機密データへのアクセスであっても、アイデンティティを確認し、きめ細かなアクセス制御を実施することは、システムやデータを安全に保護するための重要な要件です。 つまり、組織が最小権限の原則 (PoLP) を徹底し、MFAのような強力な認証方法を要求すると同時に、企業向けパスワードマネージャーまたは特権アクセス管理 (PAM) ソリューションで認証情報を保護する必要があります。
特権アクセス管理 (PAM)
PAMは、組織が最も重要なシステムやアカウントへのアクセスを制御し、監視できるようにするサイバーセキュリティソリューションです。 特権アカウントは、通常、管理者やDevOpsチームが使用し、高い権限が付与されています。これが侵害された場合、サイバー犯罪者に機密データやインフラストラクチャの広範囲のアクセスを与えてしまうことになります。 PAMを利用すると、最小権限アクセスを強制するほか、認証情報を自動的にローテーションし、セッション全体を可視化できるため、データ侵害や内部脅威のリスクを大幅に減らせます。
ゼロトラストセキュリティとRBAC
ゼロトラストセキュリティとロールベースのアクセス制御 (RBAC) は連携して機能し、ユーザーのアイデンティティとロールに基づいてアクセスを制限します。 ゼロトラストは「決して信頼せず、常に検証する」という原則に基づいて動作し、ユーザー、デバイス、システムのいずれにも初めからアクセスを許可せず、アクセスリクエストがあるたびに継続的に認証プロセスが行われます。 一方、RBACは、個人に対してではなく、ユーザーのロールに基づいて権限を割り当て、各ロールに業務上必要なアクセスのみを与え、ゼロトラストを補完します。 これら2つのアプローチが組み合わさることで、サイバー犯罪者がネットワーク内を水平移動したり、過剰にプロビジョニングされたアカウントを悪用したりすることが非常に難しくなります。
パスワード管理
企業向けパスワードマネージャーとは、組織内のさまざまなアカウントやアプリケーションの認証情報を安全に保存、管理し、自動入力を行うソリューションのことです。 従業員がパスワードを手作業で作成して管理すると、多くの場合、弱いパスワードが使用され、パスワードの使い回しも発生しますが、企業向けパスワードマネージャーは各アカウントに対し強力でユニークなパスワードの使用を強制し、それらを暗号化されたボルト (保管庫) に安全に保管します。 パスワードマネージャーを使用することで、データ侵害の最も一般的な原因の一つを排除でき、IT部門が組織全体の認証情報のセキュリティを管理できるようになります。
多要素認証 (MFA) およびパスワードレス認証
MFAは、アクセスを許可する前に、ユーザーに2つ以上の認証要素による本人確認を要求することで、アカウントのセキュリティを強化します。 たとえば、ユーザーが認証にパスワードと生体認証を使用する場合、たとえパスワードが漏洩しても、2つ目の認証要素がなければアクセスは成立しません。 さまざまな組織で従来のパスワード認証から完全に脱却しようとする取り組みが進んでおり、パスキーや生体認証といったパスワードレス認証方式がますます普及されつつあります。 これらのパスワードレス方式により、MFAが本来対処しようとしていた認証情報の脆弱性が取り除かれます。
シークレット管理
ITセキュリティにおいて、シークレットとは、アプリケーションやシステムが相互に認証しあい、通信するために使用する認証情報を指します。 例としては、APIキー、トークン、証明書などがあります。 人間のユーザーが使用する従来のパスワードとは異なり、シークレットは設定ファイルやコードリポジトリにハードコードされていることが少なくないため、見落とされがちですが、非常に悪用されやすい攻撃経路になっています。 シークレット管理ソリューションは、シークレットを安全に保管し、自動的にローテーションを行い、必要なシステムやサービスだけがアクセスできるようにします。
暗号化と安全なデータ送信
暗号化とは、データを判読不可能な形式に変換するプロセスを指し、正しい復号キーを持つ許可された人のみが読み取ることができます。 ITセキュリティの最も重要な技術の1つである暗号化は、データが傍受されたり、権限のないユーザーによってアクセスされたりしても、読み取ったり、使用したりできない状態に保ちます。 暗号化は、保存中のデータと通信中のデータの両方に適用されます。つまり、保存されたデータもネットワーク間で転送される情報も保護します。 Transport Layer Security (TLS) のような安全な通信プロトコルは、システムとユーザーの間でデータがやり取りされる際にデータを保護し、転送中の機密データが改ざんされたり傍受されたりすることを防ぎます。
AIはサイバー攻撃をどのように変えているのか
人工知能 (AI) により、サイバー犯罪者は、これまで以上に短時間で、大規模かつ高度な技術で攻撃できるようになっています。 AIは、高度なソーシャルエンジニアリングの手法を取り入れた、巧妙なフィッシングメールの作成にも利用されており、従業員には真偽を見分けることがますます難しくなっています。 こうした中で、IT部門とセキュリティチームは、高度に自動化され、知能化したサイバー攻撃の脅威からシステム、データ、認証情報を保護する対策を講じることが、これまで以上に求められています。 強力なアクセス制御、MFAやPAMなどのベストプラクティスを実践することは、AIを悪用したサイバー攻撃に対抗するために不可欠です。 Keeperは、企業向けパスワード管理、MFA適用、シークレット管理、PAMを組み合わせた統合型のアイデンティティセキュリティプラットフォームを提供しており、アイデンティティ、認証情報、システムを確実に保護するために防御策を講じる組織を支援しています。
組織のITセキュリティ戦略の強化に向けて、KeeperPAMの無料トライアルをお試しください。
よくある質問
ITセキュリティとは何ですか?簡単に説明してください。
ITセキュリティとは、組織のデバイス、ネットワーク、データを不正アクセスやサイバー攻撃から保護する手段です。 企業のデジタルシステムや機密データを、アクセス権のない人から守るための警報システムやロックシステムのような仕組みと考えることができます。
ITセキュリティとデータ保護の違いは何ですか?
ITセキュリティとデータ保護は関連する概念ではありますが、同じではありません。 ITセキュリティは、不正アクセスや広範なサイバー攻撃の脅威からデータ、ネットワーク、システムを保護することに重点を置いています。 データ保護とは、組織による個人データの収集、保存、取扱の方法について組織が負う法的責任を指します。一般的には、GDPRなどのコンプライアンス規制によって定められています。
ITセキュリティが企業にとって重要なのはなぜですか?
たとえ1回のデータ漏洩であっても、組織全体に深刻な影響を及ぼす可能性があるため、ITセキュリティは組織に不可欠です。 財務面では、サイバー攻撃に遭った場合、インシデント対応から、罰金等の法的措置に至るまで、高額な費用が発生する場合があります。 データ保護の観点から言えば、組織は機密性の高い顧客データ、従業員データ、ビジネスデータを保護する責任があり、それが果たせないと、企業の信用や評判が長期にわたり損なわれるおそれがあります。