【IoT用語集】サイバーセキュリティ

はじめに

サイバーセキュリティとは、情報漏洩・情報破壊・情報の信頼性の棄損といった情報に対する被害およびハードウェア・ソフトウェアに対する被害をもたらす不正な活動の防止と、不正な活動に直面した場合の被害防止のために必要な安全管理措置および安全管理措置が適切に保たれている状態のことをいいます。
平成26年可決成立した、サイバーセキュリティ基本法においては、サイバーセキュリティが法律上も定義されています。

サイバーセキュリティに対する脅威の種類

サイバーセキュリティを脅かす現在判明している主な「サイバー攻撃」には以下のような種類があります。

  1. ブルートフォースアタック
    暗号を総当たり式に計算機で作出し、暗号破りを行うことです。具体的にはパスワード破りがこれに当たります。

  2. DDoS攻撃
    一つのターゲットに対して、分散させた攻撃元から、大量のデータを送信するなどして、ターゲットとなるサイトまたはサーバを過重負荷によりダウンさせる攻撃手法です。

  3. F5アタック
    サイトにアクセスして、繰り返しF5キーを押し、リロードすることにより、サイトまたはサーバをダウンさせる攻撃手法です。

  4. SQLインジェクション
    データベースに対して、データを書き加えるSQL文に「悪意のあるコマンド=SQL文」を仕込んでおき、Webサーバへデータ送信することにより、攻撃を加えるものです。

  5. クロスサイトスクリプティング
    掲示板に悪意のあるリンクを張り付けておくと、リンクにアクセスした閲覧者により、不正なコマンドが閲覧者のPCに送信され実行されてしまう攻撃のことです。

  6. ルートキット攻撃
    ルートキット攻撃は侵入者が侵入の痕跡を隠すマルウェアと、管理者権限を奪取するようなスクリプトをセットにして仕掛ける「マルウェアのセット」による攻撃です。

  7. なりすまし攻撃
    IPスプーフィング・メールの送信元・IDなどのなりすましといった行為により、パスワード・暗証番号など、情報の詐取をねらう攻撃手法です。とくにフィッシング詐欺などでは、銀行の送信であるかのように装ったメールに記載されたリンク先に暗証番号・パスワードを入力させ、銀行からの預金引き出しを狙うなどといった多額の被害をともなう事案になることもあります。

  8. ランサムウェア
    マルウェアによりPCをロックさせ、ロックの解除をしてほしければXXXX円払え、などとする一種の恐喝手法です。

脅威はなぜ生じるか?

サイバー攻撃は、コンピューターの性質から生じがちな脆弱性をついて行われます。コンピューターは、指令=コマンドにより動きますが、マルウェアの中に仕組まれている悪意をもったコマンドであるか、そうでないか、その識別はコンピューターにはしにくいものです。
コンピューター技術の進歩に取り残されることにより、安全管理策が十全にとられないこと、より具体的には更新プログラムを最新のものにしない、サポートが切れたソフトウエアを使い続けるといったことがもちろん脅威になります。さらに、ある制圧された脅威が、さらに複雑化して脅威になるなど、コンピューター技術の進歩自体も皮肉なことに脅威になりえます。
このようにコンピューターに対する「脅威」は、コンピューターに内在する制約とも言えます。
しかしながら、ソフトウエアのセキュアコーティングの技法や、セキュリティデザインといった手法により、脆弱性はコントロールが可能といえますし、これらの不正を検知するソリューションを用いることで脆弱性を補完することもできます。
また、コンピューターのセキュリティ設定も、脆弱性を低減するコントロール手段です。ユーザーの適切な行動もまた、脅威を低減させることができる有効な手段です。脆弱性コントロールと、新しい脅威の出現はいたちごっこのようなものと言えますが、セキュリティ技術の進歩は近年目覚ましいものがあります。

脅威の予防のために有効な手段

① セキュリティデザイン
システムまたはソリューションに、脆弱性を意識した設計をおこなうことにより、脅威を予防することができます。管理者権限の最小化と分散をあらかじめ設計段階で入れておくこと、十分なイベントおよびアクセスログ機能を持たせることなどがあげられます。

② セキュリティアーキテクチャー
サーバ負荷分散処理ができることや、通信アーキテクチャにおける冗長化・セキュアルーティングなど、ネットワークも含めたソリューションの全体構造をよりセキュアにすることも脅威を予防する手段です。

③ 脆弱性コントロール
脆弱性スキャン・ペネトレーションテストによるシステムの脆弱性の検証も、脅威の予防のために役に立ちます。脆弱性が検知されたら、脆弱性に応じたバッチプログラムの適用・プログラムの更新など、各種の安全管理措置をとって改善することになります。

④ システムに付加する技術的安全管理策
例えばファイヤーウォール・アクセスコントロール・暗号化・侵入およびマルウェア検知システムなどを安全管理策としてシステムに付加することも有効です。
その他、システムの適時更新・システム監査・ユーザー教育と事業所の規則と罰則の整備なども、脅威を予防する手段として有効です。

まとめ

不正アクセス・攻撃により、近年大規模情報漏洩事件の件数が増えており、年金機構の事件なども記憶に新しいところです。攻撃が日進月歩であるのと同様に、セキュリティ技術も日進月歩です。常に攻撃・セキュリティ技術に関しては注意関心をはらって安全にITシステムを使っていきたいものです。