情報セキュリティー(InfoSec)の目的は、不正なアクセス、開示、使用、改ざん、破壊から重要な情報を保護することです。これにより、組織の機密データを承認されたユーザーが利用できるようになり、機密性を維持し、その完全性を保持することができます。
組織は、財務データ、機密データ、個人データ、または機密データを含む、情報資産を保護する必要があります。これらの資産は、デジタル・ファイルやデータ、紙の文書、物理メディア、さらには人間の音声まで、さまざまな形をとります。InfoSecは、データのライフサイクル全体を通じて、インフラストラクチャー、ソフトウェア、テスト、監査、アーカイブなどの機能を監視します。
情報セキュリティーは、数十年来の原則に基づき、絶えず変化する脅威から、ハイブリッド化が進んでいるマルチクラウド環境を保護できるように、進化を続けています。これらの脅威は進化し続けているため、複数のチームが協力して、防御のためのテクノロジーとプロセスの両方を更新する必要があります。
デジタル情報セキュリティーは、データ・セキュリティーとも呼ばれ、情報セキュリティーの専門家から最も注目されている領域であり、この記事でも焦点を当てていきます。
情報セキュリティー、ITセキュリティー、サイバーセキュリティー、およびデータ・セキュリティーは、多くの場合、(そして誤って)同じ意味で用いられています。これらの領域は重複しており、相互に影響を与えますが、主に範囲が異なります。
情報セキュリティーは、情報を保護するための組織の取り組みを網羅する包括的な用語です。これには、物理的なIT資産のセキュリティー、エンドポイント・セキュリティー、データの暗号化、ネットワーク・セキュリティーなどが含まれます。
ITセキュリティーは、物理およびデジタルのIT資産とデータセンターの保護にも関わっていますが、紙のファイルやその他のメディアの保管に対する保護は含まれていません。情報自体ではなく、テクノロジー資産に焦点を当てたものです。
サイバーセキュリティーは、デジタル情報システムの保護に重点を置いており、デジタル・データと資産をサイバー脅威から保護することが目標です。サイバーセキュリティーは、極めて大きな取り組みではありますが、紙やアナログ・データの保護は対象としていないため、その範囲は広くありません。
データ・セキュリティーは、デジタル情報をそのライフサイクル全体を通して、不正アクセス、破損、盗難から保護するためのプラクティスです。これには、ハードウェアとストレージ・デバイスの物理的なセキュリティーに加えて、管理およびアクセス管理も含まれます。また、ソフトウェア・アプリケーションの論理的セキュリティーと、組織のポリシーおよび手順も対象としています。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
データは世界経済の大部分を動かしており、サイバー犯罪者はその価値を認識しています。機密情報を盗むこと(ランサムウェアの場合は、データを人質に取ること)を目的としたサイバー攻撃は、より一般的になり、被害とコストが大きくなっています。InfoSecの実践と原則は、こうした脅威に直面した場合に、データを保護するのに役立ちます。
IBMの「データ侵害のコストに関する調査」によると、データ侵害の世界における平均総コストは444万米ドルです。
データ侵害は被害者にさまざまな損害を与えます。予期しないダウンタイムは、ビジネスの損失につながります。顧客の機密情報が漏えいすると、多くの場合、企業は顧客を失い、社会的評判に大きな、時には取り返しの付かないダメージを受けます。知的財産を盗まれると、企業の収益性が損なわれ、競争力が低下します。
また、データ侵害の被害者は、規制上の罰金や法的な罰則を科せられる可能性もあります。一般データ保護規則(GDPR)などの政府規制や、医療保険の相互運用性と説明責任に関する法律(HIPAA法)などの業界規制により、企業には顧客の機密情報を保護することが義務付けられています。これらの対応を怠ると、多額の罰金が科せられる可能性があります。
企業は情報セキュリティのテクノロジーと人材に投資しています。データ侵害のコストに関する調査によると、49%の組織がデータ侵害を受けた後にセキュリティーへの投資を増やすことを計画しています。
追加投資が必要な主な分野としては、インシデント対応の計画とテスト、データ・セキュリティー・ツール、脅威の検知と対応のテクノロジーなどが挙げられます。セキュリティー向けのAIとオートメーションに大規模な投資を行った組織は、平均と比較してデータ侵害コストが82万米ドル減少したと報告されています。
情報セキュリティーの取り組みを統括する最高情報セキュリティー責任者(CISO)は、企業の経営幹部の一員として定着しました。
ISC2が認定するCertified Information Systems Security Professional (CISSP)の資格など、高度な情報セキュリティー認定資格を持つ情報セキュリティー・アナリストの需要も高まっています。労働統計局(BLS)は、情報セキュリティー・アナリストの雇用が2032年までに32%増加すると予測しています。1
情報セキュリティーの実践は、数十年にわたって進化し続けている一連の原則に基づいています。
1977年に米国標準技術研究所(NIST)によって初めて提唱されたCIAトライアドは、組織が情報システムを保護するためのテクノロジー、ポリシー、およびプラクティスを選択する際の指針となることを目的としています。CIAトライアドには、次の要素が含まれています。
機密性とは、当事者がアクセス権限のないデータにアクセスできないようにすることを意味します。
機密性は、企業のデータの多くにアクセスできる特権を持つインサイダー(内部関係者)から、一般の人々が閲覧することを許可または許可されている情報のみを閲覧する権限を与えられたアウトサイダー(部外者)まで、ユーザーの範囲を定義するものです。
個人情報は非公開のままにしておく必要があります。機密データは機密情報です。許可されていない人が保護されたデータのパスワードを取得した場合、それは機密性の侵害になります。
完全性とは、企業のデータベースに含まれるすべての情報が完全かつ正確であることを保証することを意味します。
完全性への取り組みは、不正な追加、変更、削除などによるデータの改ざんを阻止することを目的としています。データの完全性は、データを意図的に変更する敵対者と、不正な方法でデータを変更する善意のユーザーの両方を防ぐために適用されます。
可用性は、ユーザーが必要なときに、アクセスが許可されている情報にアクセスできるようにします。
可用性は、情報セキュリティーの方法や方針によって、権限のあるデータへのアクセスが妨げられないようにするものです。組織のサイトがダウンしないように、ハードウェアとソフトウェアの堅牢性を確保する取り組みなど、可用性の多くは簡単なものです。
情報システム内のデータの機密性、完全性、可用性を達成して維持する継続的なプロセスは、「情報保証」と呼ばれています。
否認防止とは、ユーザーがトランザクションを実行するために、認証にパスする必要があったため、データの変更やメッセージの送信などのトランザクションを実行したことをユーザーが拒否(つまり、否認)できないようにすることを意味します。
技術的には、CIAの3要素の一部ではありませんが、否認防止は情報の機密性と完全性の側面を組み合わせたものです。否認防止には、承認されたユーザーのみがデータを操作し、承認された方法でのみデータを使用または変更できるようにすることが含まれます。
情報セキュリティーの専門家は、情報セキュリティー・プログラムを作成することで、情報セキュリティーの原則を情報システムに適用します。情報セキュリティー・プログラムとは、情報保証を実現するために、情報セキュリティーの方針、保護手段および計画を集めたものです。
情報セキュリティープログラムの核となる要素には、例えば次が含まれます。
情報セキュリティーのリスク・アセスメントは、企業の情報システムのあらゆる側面を監査します。リスク・アセスメントは、情報セキュリティー専門家が直面しているリスクを正確に理解し、リスクを軽減するために最も適切なセキュリティー対策とテクノロジーを選択するのに役立ちます。
脅威は、情報システムの機密性、完全性、可用性を損なう可能性のあるものすべてを指します。
サイバー脅威とは、デジタルの脆弱性を利用する脅威です。例えば、サービス拒否(DoS)攻撃は、サイバー犯罪者が企業の情報システムの一部をトラフィックで圧倒し、クラッシュさせるサイバー脅威です。
物理的な脅威もあります。自然災害や、物理的または武力による攻撃、さらにはシステム的なハードウェア障害でさえも、企業の情報システムに対する脅威と見なされます。
インシデント対応計画(IRP)は通常、インシデントに対応する組織の取り組みをガイドするものです。
コンピューター・セキュリティー・インシデント対応チーム(CSIRT)は、多くの場合、組織全体の関係者に参加してもらい、IRPを作成して実行します。CSIRTのメンバーには、最高情報セキュリティ責任者(CISO)、最高AI責任者(CAIO)、セキュリティー・オペレーション・センター(SOC)、IT担当者、法務、リスク管理、その他の非技術領域の代表者などが含まれます。
IRPは、重大な脅威が検出された場合に、組織が実行する緩和のための詳細な手順を規定します。IRPは、作成する組織や対象とする脅威によって異なりますが、一般的な手順は次のとおりです。
情報セキュリティー・プログラムでは、特定の脅威に対処するために、複数の異なるツールと手法を活用します。一般的なInfoSecツールと手法には、次のようなものがあります。
暗号化では、アルゴリズムを使用して情報を難読化し、解読する権限と能力を持つ人だけが情報を読み取ることができるようにします。
DLP戦略とツールは、ネットワーク全体でのデータの使用と移動を追跡し、きめ細かなセキュリティー・ポリシーを適用して、データの漏洩や損失を防ぐのに役立ちます。
EDRソリューションは、各デバイス上のファイルとアプリケーションを継続的に監視し、マルウェア、ランサムウェア、または高度な脅威を示す疑わしいアクティビティーや悪意のあるアクティビティーを探します。
ファイアウォールは、正当なトラフィックを通過させながら、不審なトラフィックがネットワークに出入りすることを阻止するソフトウェアまたはハードウェアです。ファイアウォールは、ネットワークのエッジに展開することも、大規模なネットワークを小さなサブネットワークに分割するために、内部で使用することもできます。ネットワークの一部が侵害された場合、ハッカーは残りの部分へのアクセスをブロックされます。
ISMSには、組織が機密データを保護し、データ侵害に対応するのに役立つガイドラインとプロセスが含まれています。ガイドラインを整備しておくと、従業員の離職率が高まった場合の継続性の維持にも役立ちます。ISO/IEC 27001は、広く使用されているISMSです。
SOCは、ITインフラストラクチャーのセキュリティーを24時間体制で監視するITセキュリティー専門家のチームの下で、すべてのサイバーセキュリティー技術とオペレーションを統合および調整します。
2要素認証(2FA)と多要素認証(MFA)は、ユーザーが自分の身元を証明し、機密リソースにアクセスするために複数の証拠を求めるアイデンティティーの検証方法です。
脅威インテリジェンスは、セキュリティー・チームがよりプロアクティブになり、サイバー攻撃を発生前に防ぐための効果的なデータ駆動型アクションを実行できるようにします。
UEBAは、行動分析と機械学習アルゴリズムを使用して、異常で潜在的に危険なユーザーおよびデバイスの行動を識別するセキュリティー・ソフトウェアの一種です。
組織は、情報セキュリティーに対する多くの潜在的な脅威に直面しています。
これらの攻撃は、 APT(高度標的型)攻撃、ボットネット(ロボット・ネットワーク)、 DDoS(分散型サービス妨害)攻撃、ドライブ・バイ・ダウンロード攻撃(悪意のあるコードを自動的にダウンロードさせる攻撃)、マルウェア、フィッシング、ランサムウェア、ウイルス、ワームなど、さまざまな手法を用いて組織のデータを標的にしようとします。
機密情報が入ったモバイル・デバイスを紛失したり、会社のデバイスで危険なWebサイトにアクセスしたり、簡単に破られるパスワードを使用したりする可能性があります。
適切なウイルス対策ソリューションやエンドポイント・セキュリティー・ソリューションを導入していない場合、ノートPCやモバイル・デバイス、パソコンが組織のITシステムへのエントリー・ポイントになる可能性があります。
内部脅威には2つのタイプがあります。
「X-Force Threat Intelligence Index」レポートによると、かなりの数のセキュリティー・インシデントが、正規ツールの悪意のある使用に関連するものです。インシデントには、認証情報の盗難、偵察、リモートアクセス、データ窃盗含まれます。
組織は、クラウドベースのデータ・ストレージ・オプション、サービスとしてのインフラストラクチャー(IaaS)、サービスとしてのソフトウェア(SaaS)統合、さまざまなプロバイダーのWebアプリケーションなど、複数のITプラットフォームとツールに依存しています。これらの資産を適切に構成できていないと、セキュリティー上のリスクが生じる可能性があります。
また、プロバイダーや内部の変更により、有効な設定が古くなってしまう「構成ドリフト」が生じる可能性があります。
X-Force Threat Intelligence Indexは、ペネトレーション・テストの実施中に、クライアント環境全体で最も多く見られたWebアプリケーション・リスクはセキュリティーの構成ミスであり、全体の30%を占めたと報告しています。
ソーシャル・エンジニアリング攻撃は、従業員を騙して機密情報やパスワードを漏洩させるもので、悪意のある行為につながる可能性があります。
また、従業員がソーシャル・メディアを通じて組織を宣伝しようとしているときに、攻撃者に悪用される可能性のある個人情報やビジネス情報を誤って漏らしてしまうことも考えられます。
強力なInfoSecプログラムは、組織全体のチームを支援します。
重要なビジネス情報をより効果的に保護して保存し、セキュリティー・インシデント後に再スタートを切れるようにします。
HIPAAやPCI-DSSなどの多くのデータ・プライバシーおよび保護規制が機密情報の保護を求めています。情報セキュリティーは、コンプライアンスを確保し、法的責任や罰金の可能性を低減するのに役立ちます。
エンタープライズ・グレードのセキュリティー・システムを導入することで、組織はさまざまなレベルのデータに適切な対策を講じることができ、機密性の低いデータのセキュリティーに対する過剰な支出を回避できます。
データの機密性がより明確に示し、より安全なプロセスを実施することで、従業員はより適切に情報を取り扱うことができるようになります。
セキュリティー侵害は、ビジネスに悪影響を及ぼします。セキュリティー・インシデントによって即座にコストが生じる可能性がありますが、同時に社会からの信頼も失われる可能性もあります。
インシデント対応計画とシステムを整備することで、情報セキュリティー対策は、データ侵害やサービス拒否(DoS)といったセキュリティー・インシデントやサイバー攻撃を防ぐのに役立ちます。
財務情報や企業秘密など、個人および組織の機密データを保護するために、認証対策を実施することができます。災害復旧計画を立てることで、セキュリティー・インシデントから迅速に復旧することができます。
組織は、情報セキュリティーの直接的な脅威に加えて、堅牢なInfoSec戦略とシステムを構築および管理するにあたって、複数の課題に直面しています。
新しいシステムを導入したら、タスクが完了したことに満足して、立ち去ってしまう傾向があるかもしれません。しかし、ハッキング技術は、新しいセキュリティー対策に追いつけるように、継続的に洗練されています。メンテナンスとデータ保護のタスクが完了することはほとんどなく、セキュリティー管理を継続的に改善することが必要です。
絶え間なく変化するテクノロジー環境には、洗練されたシステムと、ますます複雑になっているシステムを管理するために、最新の情報を把握したITチームが欠かせません。これには、モノのインターネット(IoT)および、すべてのモバイル・デバイスとの安全な情報交換が含まれます。
複雑さは時間の浪費につながる可能性があります。ITチームによっては、セキュリティー・システムの継続的な再構成と維持が主な仕事であると考えています。
世界中の企業は、さまざまなコンピューター・システムを使用し、さまざまなレベルの情報セキュリティーを備え、さまざまな規制の下で業務を行っています。こういった状況により、安全にグローバル・データを交換することがますます困難になっています。
すべての情報がロックダウンされると、すべてのビジネス運営が中断される可能性があります。難しいのは、データを組織内で安全に保持し、適切に使用しながら、組織内で建設的なデータ・フローを構築することです。
セキュリティーのレベルによっては、情報システムをサードパーティー・ベンダーやその他のビジネス・パートナーと統合することが困難であったり、新たなセキュリティー・リスクが生じる可能性があります。