近年、サイバーセキュリティという言葉を耳にすることが増えてきました。様々な情報がデジタル化されている中で、デジタル化の発展と共に耳にする機会が増えた「サイバーセキュリティ」。実はサイバーセキュリティは、情報社会において非常に重要な役割を担っています。そこで本記事では、サイバーセキュリティとは何なのか、現状や課題、情報セキュリティとの違いやサイバーセキュリティに関する法律について、そして具体例も交えて解説していきます。
サイバーセキュリティとは?
そもそもサイバーセキュリティとは、データ、デバイス、ネットワーク、そしてプログラム等をサイバー攻撃から保護するためのツールやフレームワーク、プロセスを指します。つまり、デジタル化された情報の改ざんや漏えいを防ぐためのものです。
サイバー攻撃は、システムへの不正アクセス・データの改ざん・窃盗や操作などを行うことで業務の妨害をしたり、被害者から金銭を脅し取ったりすることを目的としています。このような攻撃からデータや資産を守るために存在するのがサイバーセキュリティなのです。
デジタルテクノロジーが進化している情報社会において、個人、組織の両方が常にサイバー攻撃や情報漏えいの危機に晒されていると言っても過言ではありません。サイバー攻撃の数が増えている今、情報の信頼性を担保するためには、強力なサイバーセキュリティが必要となります。
サイバーセキュリティと情報セキュリティの違い
サイバーセキュリティと共によく耳にするのが情報セキュリティという言葉です。これらは、似たように聞こえるものの、セキュリティの対象が異なります。
サイバーセキュリティと情報セキュリティの関係性は、情報セキュリティの中にサイバーセキュリティがある、つまり包含関係にあります。情報は、「機密性(confidentiality)」「完全性(integrity)」「可用性(availability)」の3つの要素が保たれることで、正確性や信頼性が向上すると言われており、これらの要素はCIAと呼ばれています。
情報セキュリティでは、このCIAの状態を守るために情報の取り扱い方を考え、対策を行います。一方で、情報セキュリティの3要素であるCIAの脅威となる原因に対して対策を行うのがサイバーセキュリティです。サイバーセキュリティの対策対象となりCIAの脅威となる原因には、外部からの脅威だけでなく、内部の脅威、つまり内部からの情報漏えいやヒューマンエラーも含まれます。サイバーセキュリティでは、ID・パスワードの漏えいやウイルス、内外部からの不正アクセス、そして従業員による情報漏えいなどに対して対策を検討します。
サイバーセキュリティ基本法とは?
ここまで、サイバーセキュリティについて解説してきました。前述した通り、ウイルスやサイバー攻撃から情報資産を保護するために重要なサイバーセキュリティですが、実はセキュリティ確保の基本理念や施策の基本事項を定めた法律が存在します。その法律がサイバーセキュリティ基本法です。下記では、サイバーセキュリティ基本法についてご紹介します。
サイバーセキュリティ基本法について
サイバーセキュリティ基本法とは、2014年(平成26年)に成立し、2015年(平成27年)1月から施行されている法律です。官公庁のウェブサイト改ざんをはじめとする政府機関などへのサイバー攻撃が激化する中で、サイバーセキュリティ基本法の設立が決定しました。
サイバーセキュリティ基本法は、総務省にて「サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め、国の責務等を明らかにし、サイバーセキュリティ戦略の策定その他当該施策の基本となる事項等を規定している法律」とされています。
国や地方公共団体、その他関連機関などだけでなく、国民もサイバーセキュリティの確保に努めなければならないという法律です。サイバーセキュリティの対象範囲となるのは、「電磁的方式」によって「記録され、又は発信され、伝送され、若しくは受信される情報」とされています。
サイバーセキュリティ基本法の改正
サイバーセキュリティ基本法は、脅威や社会情勢を加味し、2014年に発行されて以降、今日(2022年5月)までにすでに2回の改正を経ています。1回目の改正は2016年で、それまで中央省庁に限られていた原因究明調査対象を、独立行政法人や特殊法人にまで拡大する規定が追加されました。さらに、情報セキュリティ対策の実践的な能力を持つ国家資格「情報処理安全確保支援士」の新設も盛り込まれ、セキュリティ強度を高める法律となりました。
2回目の改正は2018年で、東京オリンピックの開催に備えて、官民が連携してセキュリティ対策を講じることができるよう改正が行われました。平昌の冬季オリンピックでのサイバーテロをはじめ、リオやロンドンオリンピックでも多くのサイバー攻撃が発生したことから、東京オリンピック前の改正に繋がっています。この改正では、サイバーセキュリティ協議会が創設され、官民がより密に連携できるようにされました。
このように、サイバーセキュリティ基本法は国内外の社会情勢や他国でのサイバーテロなどを踏まえて、随時改正を行い、より強固なサイバーセキュリティが確立できるよう改善されていきます。
サイバーセキュリティの具体例
さて、上記ではサイバーセキュリティ基本法について紹介しましたが、以下では、実際に具体的なサイバーセキュリティ、つまり対策方法について紹介します。
サイバーセキュリティでは、技術的対策、物理的対策、人的対策の3つに分けて対策が必要とされています。技術的対策とは、利用しているデバイスやアプリケーションを守るための対策で、対策ソフトのインストールやソフトのアップデート、IDS(不正侵入検知システム)やIPS(不正侵入防止システム)の導入、アクセス権限の管理などが含まれます。物理的対策とはデバイスの盗難や破壊、物理的アクセスの管理を指し、オフィスの入退室・施錠管理や防犯カメラの設置が含まれます。そして最後の人的対策とは関連者全員がサイバーセキュリティを意識して行動することを指し、デバイスの持ち出し制限や知識教育、ルールの設定などが含まれます。
サイバーセキュリティの現在の動向、今後について
現在のサイバーセキュリティの動向や課題、今後について把握しておくことは非常に重要になります。内閣サイバーセキュリティセンター(NISC)のホームページでは、新着情報や政策について確認することができます。また、総務省のホームページでも動向を確認可能です。下記では、最後にサイバーセキュリティの現状や今後について記載していきます。
サイバーセキュリティの現在の動向
デジタル経済が進化する中で、サイバーセキュリティに関するリスクへの対応の重要度が高まっており、世界的に見ても、サイバー攻撃は今後10年間において大規模な損害をもたらすリスクの1つとして挙げられています。
2021年には、いくつかの有名企業がサイバー攻撃の犠牲になり、デジタル世界の脆弱性が明らかになっています。サイバー攻撃は、データの不正利用や社会の不安定化、重要インフラの故障、国家間の紛争や国家統治の失敗などと関連性があるとされています。サイバーセキュリティのトレンドとして、脅威とされている事象は、個人においてはクレジットカードの不正利用やフィッシングによる個人情報の詐取などが上位にランクインしています。
また、組織においては、標的型攻撃やビジネスメール詐欺による被害が上位となっています。2022年4月に実施された事例調査では、ウェブサイトの改ざんやメール攻撃を含む事例を10ケース調査し、サイバーセキュリティ対策や気付きなどが記載されています。これらの調査の結果として、攻撃の検知や分析が可能な環境の整備・外部組織との情報共有・関係者や部署へのセキュリティ情報の伝達や円滑なコミュニケーションなどの取り組みが必要とされています。
参考:
https://www.nisc.go.jp/pdf/policy/inquiry/kokai_jireishu.pdf
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r01/html/nd113300.html
サイバーセキュリティの今後
Society 5.0(サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会)の実現により、様々なものが繋がり、それによってセキュリティ対策がこれまでよりも複雑になると予想されています。そのため、これまでは十分に考えられていなかった脅威への早期検知や対策の明確化が重要となります。
NashTechのサイバーセキュリティーへのアプローチ
NashTechでは、すべての開発においてアーキテクチャのデザインから、機能、システム設計まで、セキュリティを要件として配慮した上で行っております。特に金融関係、決済関係、個人情報などを取り扱う場合より厳重なセキュリティを必須要素として考えており、これに加えて厳重なテストフローを構築することでお客様のサイバーセキュリティを守ります。必要に応じてペネトレーションテスト(侵入テスト)も実施しております。
NashTechのセキュリティーテストプロセス
まとめ
いかがでしたか?今回は、サイバーセキュリティとは何なのか、現状や課題、情報セキュリティとの違いやサイバーセキュリティに関する法律について、そして具体例を紹介しました。デジタル社会において非常に重要なサイバーセキュリティ。個人の意識もその1つです。対策法や現状についての知識を身につけてみると良いかもしれません。