企業のデジタル化がかつてないほど進んでいる今、テクノロジーの進化とともに、組織のセキュリティ体制も強化されなければならない。 多くの企業で起こっているように、これを怠ると、高価なデータ侵害につながる可能性があります。 サイバー犯罪の状況は進化しており、脅威者はあらゆる種類の組織を狙っています。したがって、企業のデータ、資金、評判を保護するためには、高度なセキュリティ・システムに投資することが非常に重要なのです。 しかし、組織のセキュリティ プログラムの開発に着手する前に、さまざまな種類のセキュリティを理解し、それらがどのように連携しているかを理解することが重要です。
情報セキュリティとは
情報セキュリティ(別名 InfoSec)は、物理データとデジタルデータの両方を不正なアクセス、使用、開示、中断、変更、検査、記録または破壊から保護することを確実にします。 情報セキュリティはサイバーセキュリティと異なり、サイバーセキュリティがデジタルデータのみを保護するのに対し、情報セキュリティはあらゆる形式のデータを安全に保つことを目的としています。
Governance Framework
情報セキュリティ・プログラムを作成する際には、適切なガバナンス構造を持つことから始めるとよいでしょう。 ガバナンスとは、セキュリティ戦略がビジネスの目的および目標に合致していることを確認するために確立されたフレームワークです。 ガバナンスは、ビジネスと情報セキュリティの間のギャップを埋め、両チームが効率的に協力できるようにします。
CIA Triad
情報セキュリティ専門家が効果的な情報セキュリティプログラムのポリシーと手順を開発する場合、ガイドとしてCIA(機密性、完全性、可用性)トライアドを使用します。 CIAの3要素とは、
- Confidentiality: 情報が権限のない人にはアクセスできないようにすること (最も一般的には暗号化によって実施されますが、多くの形態があります)
- Integrity: 情報とシステムが権限のない人によって変更されないようにすること、データの正確さと信頼性を確保すること
- Availability: 情報が利用可能であるようにすること。 また、すべてのハードウェアとソフトウェアが適切に維持され、必要に応じて更新されるようにします。
CIA の三位一体は、組織のセキュリティを維持するための事実上の標準モデルとなっています。 この 3 つの基本原則により、データを維持し保護するための強力なセキュリティ制御を構築することができます。
Social Engineering
サイバー脅威者があなたの組織を狙うとき、彼らはあなたのビジネスだけでなく、あなたの従業員も調査します。 彼らは、ITセキュリティ以外の従業員はサイバー脅威に対する認識が低いことを知っているので、人間の脆弱性を突いたサイバー攻撃を実行します。 ソーシャル・エンジニアリングのプロセスを通じて、脅威者は人々を操り、機密情報へのアクセス権を与えるように仕向けるのです。 最も一般的なソーシャルエンジニアリング攻撃には、次のようなものがあります。
- フィッシング:通常、メールやチャットの形で、脅威の行為者が実際の組織を装って個人情報を取得すること
- プレクティング:個人情報を取得するために権威者やターゲットが簡単に信用する人物になりすますこと
- ベーティング:個人情報を得るために、脅威の行為者がその人物を装い、その人を攻撃すること
- Baiting(おとり捜査): ソーシャルエンジニアリングの一種。 脅威者が、USB や CD などのマルウェアに感染したデバイスを、誰かが簡単に見つけられる場所に置き、その人が自分のコンピュータで感染したデバイスを使用して誤ってマルウェアをインストールし、脅威者がターゲットのシステムにアクセスできるようにすること
- 見返り:脅威者が、何らかの報酬と引き換えに個人情報を要求すること(例えば、以下のようなものです)。ビジネスリーダーとして、セキュリティ意識の文化を構築し、チームのサイバーセキュリティの知識と理解のギャップを埋めることは、あなたの責任です。 従業員がサイバーセキュリティのリスクについて知っていることが不可欠であり、そうすれば、従業員が攻撃の犠牲になる可能性を低くすることができます。 従業員に必要なトレーニングとテクノロジーを提供し、組織のヒューマン ファイアウォールを強化し、サイバー攻撃の可能性を軽減します。
ネットワーク セキュリティとは
サイバー セキュリティのサブセットであるネットワーク セキュリティは、ネットワーク内のデバイスを介して送信されているあらゆるデータを保護し、情報が変更または傍受されていないことを確認することを目的としています。 ネットワーク セキュリティの役割は、組織の IT インフラストラクチャを、次のようなあらゆる種類のサイバー脅威から保護することです。
- ウイルス、ワーム、トロイの木馬
- ゼロデイ攻撃
- ハッカー攻撃
- サービス拒否攻撃
- スパイウェアとアドウェア
ネットワーク セキュリティ チームはセキュリティアーキテクチャを守るために必要なハードウェアとソフトウェアを実装しています。 適切なネットワーク セキュリティがあれば、新たな脅威がネットワークに侵入してデータを危険にさらす前に、システムがそれを検出することができます。 最も一般的なネットワーク セキュリティ コンポーネントには、次のものがあります。
- ファイアウォール
- アンチウイルス ソフトウェア
- 侵入検知および防止システム (IDS/IPS)
- 仮想プライベート ネットワーク (VPN)
ネットワーク セキュリティが破られたとき、攻撃者をできるだけ早く排除することが第一の課題です。 攻撃者がネットワークに長く留まれば留まるほど、個人データを盗み出す時間が長くなります。 Ponemon Instituteの2013 Cost of Data Breach調査によると、壊滅的または大規模なデータセキュリティ侵害を除き、米国におけるデータ侵害の1レコードあたりの平均コストは188ドルとなっています。 また、米国で1つの組織が被る総費用は平均540万ドル以上となります。 総コストを削減する最も効果的な方法は、攻撃者をできるだけ早くネットワークから排除することです。