ITセキュリティーの範囲は広く、多くの場合、テクノロジーとセキュリティー・ソリューションが混在しています。これらは連携して、デジタル・デバイスやコンピューター・ネットワーク、サーバー、データベース、ソフトウェア・アプリケーションの脆弱性に対処します。
ITセキュリティーの例としてよく挙げられるのは、エンドポイント・セキュリティーやクラウド・セキュリティー、ネットワーク・セキュリティー、アプリケーション・セキュリティーなどのデジタル・セキュリティー領域です。ただし、ITセキュリティーには、データやIT資産を保管する建物や、デバイスを保護するために必要な鍵やIDカード、監視カメラなどの物理的なセキュリティー対策も含まれます。
ITセキュリティーは、厳密にはその一部であるサイバーセキュリティーと混同されがちです。サイバーセキュリティーは主に、ランサムウェアやマルウェア、フィッシング詐欺などのデジタル攻撃から組織を保護することに重点を置いています。一方、ITセキュリティーは、ハードウェア・システムやソフトウェア・アプリケーション、ノートPCやモバイル・デバイスなどのエンドポイントを含む組織の技術インフラ全体にサービスを提供します。ITセキュリティーは、企業ネットワークとそのさまざまなコンポーネント(物理データセンターやクラウドベースのデータセンターなど)も保護します。
最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。
X-Force Threat Intelligenceインデックスに登録する
サイバー攻撃やセキュリティー・インシデントは、ビジネスの損失、評判の低下、規制上の罰金、さらに場合によっては搾取や資産の盗難など、多大な損害をもたらす可能性があります。
IBMの「Cost of a Data Breach 2023 Report(2023年データ侵害コスト・レポート) では、2022年3月から2023年3月までにデータ侵害に遭った550社以上の企業を対象に調査を実施しました。これらの企業のデータ侵害の平均コストは445万ドルで、前年の調査結果より2.3%増加し、2020年と比較すると15.3%も増加しています。このコストの要因としては、顧客や経営陣、規制当局への通知から規制上の罰金、ダウンタイム中の収益の損失、顧客の永久的な喪失までが含まれています。
一部のセキュリティー・インシデントは、他のインシデントよりもコストが高くなります。ランサムウェア攻撃は組織のデータを暗号化してシステムを使用不能にし、データのロックを解除するための復号化キーと引き換えに高額の身代金の支払いを要求します。サイバー犯罪者は、機微データを一般人や他のサイバー犯罪者と共有することを防ぐために、2回目の身代金を要求することが増えています。「IBM Security Definitive Guide to Ransomware 2023」によると、身代金の要求金額は7桁にも、8桁にも膨れ上がっており、最悪のケースでは8,000万米ドルにも達しています。
今、ITセキュリティーへの投資は増え続けています。業界アナリストのGartner®は、2023年に組織は情報セキュリティーとリスク管理のリソースとサービスに1,883億米ドル増額することになると予測しました。この予測では、市場は今後数年間も拡大を続け、2021年からの年平均成長率11%で推移し、2026年までに2,600億ドルを超えると予測されています(ibm.com外部のリンク)。
クラウド・セキュリティーは、組織のクラウド・ベースのインフラストラクチャー、アプリケーション、データに対する外部および内部のサイバー脅威に対処します。クラウド・セキュリティーは、責任共有モデルに基づいて運用されます。一般的には、クラウド・サービス・プロバイダー(CSP)は、クラウド・サービスを提供するインフラストラクチャーの安全性確保に責任を負い、顧客はそのインフラストラクチャー上で実行するあらゆるものの安全性確保に責任を負います。ただし、その責任分担の詳細は、クラウド・サービスによって異なります。
エンドポイント・セキュリティーは、エンドユーザーに加えて、デスクトップ、ノートPC、携帯電話、サーバーなどのエンドポイント・デバイスをサイバー攻撃から保護します。エンドポイント・セキュリティーは、エンドポイント・デバイスを使用して機微データやその他の資産にサイバー攻撃を仕掛けようとするサイバー犯罪者からもネットワークを保護します。
ネットワーク・セキュリティーの主な目的は3つあります。1つ目の目的は、ネットワーク・リソースへの不正アクセスを防止することです。2つ目は、サイバー攻撃やセキュリティー侵害をリアルタイムで検知して阻止することです。3つ目は、許可されたユーザーが必要なときに必要なネットワーク・リソースに安全にアクセスできるようにすることです。
アプリケーション・セキュリティーとは、開発者がアプリを構築する際に講じる対策を指します。これらの手順は、潜在的な脆弱性に対処し、顧客データと独自のコードを盗難・漏洩または侵害から保護します。
インターネット・セキュリティーは、ブラウザーやアプリケーションによって送信、保存、または処理されるデータと機密情報を保護します。インターネット・セキュリティーには、インカミング・インターネット・トラフィックにマルウェアや悪意のあるコンテンツが含まれていないかどうか監視する、さまざまなセキュリティー手法とテクノロジーが含まれます。この領域のテクノロジーには、認証メカニズム、Webゲートウェイ、暗号化プロトコル、そしてファイアウォールが含まれます。
モノのインターネット(IoT)セキュリティーは、ドアベル・カメラ、スマート家電、現代の自動車など、インターネットに接続されたセンサーやデバイスの防止に重点を置いています。IoTは、ハッカーがこれらのデバイスを制御できないようにすることを目指しています。また、ハッカーがこれらのデバイスを使用して組織のネットワークに侵入することも防ぎます。運用テクノロジー(OT)セキュリティは、企業内のプロセスを監視・制御するコネクテッド・デバイス(自動組立ラインのセンサーなど)に特に焦点を当てたものです。
すべての組織が、組織内外からのサイバー脅威の影響を受けやすくなっています。これらの脅威は、サイバー犯罪者のように意図的な場合や、悪意のあるリンクを誤ってクリックしたり、マルウェアをダウンロードしてしまった従業員や請負業者のように意図的でない場合があります。
ITセキュリティーは、このような広範なセキュリティー・リスクに対処し、さまざまな脅威アクターとその動機や戦術、スキルレベルの違いを考慮することを目的としています。
マルウェアは、感染したシステムを動作不能にし、データを破壊し、情報を盗難し、さらにはオペレーティング・システムにとって重要なファイルを消去しかねない悪意のあるソフトウェアです。
よく知られているマルウェアには、次があります。
ランサムウェアは、被害者のデータやデバイスをロックし、被害者が攻撃者に身代金を支払わない限り、ロックされたままになるか、それよりも悪いことが起こると脅すマルウェアです。IBM Security X-Force Threat Intelligence Index 2023によると、2022年のすべてのサイバー攻撃の17%はランサムウェア攻撃でした。
トロイの木馬は、有用なプログラムを装ったり、正規のソフトウェア内に隠れたりして、ユーザーを騙してダウンロードさせるマルウェアです。リモート・アクセス型トロイの木馬(RAT)は、被害者のデバイスに秘密のバックドアを作成しますが、ドロッパー(トロイの木馬の一種)は、それ自体には不正コードは含まれないものの、あるタイミングでマルウェアをインストールします。
スパイウェアは、ユーザー名やパスワード、クレジットカード番号、その他の個人データなどの機微情報を密かに収集し、ハッカーに送信します。
ワームは自己複製するマルウェアであり、アプリケーションとデバイス間で自動的に拡散するおそれがあります。
「ヒューマン・ハッキング」と呼ばれることが多いソーシャル エンジニアリングは、被害者を操作して、機密情報を漏洩したり、組織のセキュリティーを侵害したり、組織の財政的健全性を脅かしたりするような行動をとらせます。
フィッシングは、ソーシャル・エンジニアリング攻撃の中で最もよく知られており、最も広く浸透している攻撃です。フィッシング攻撃は、詐欺メールやテキスト・メッセージ、または電話を使用して人々を騙します。これらの攻撃は、個人データの共有や認証情報へのアクセス、マルウェアのダウンロード、サイバー犯罪者への送金、その他のサイバー犯罪につながる行動をとらせたりすることを目的としています。フィッシングには次のような特殊なタイプがあります。
スピアフ・ィッシング:特定の個人を操作することを目的とした、高度に標的を絞った攻撃であり、多くの場合、被害者の公開ソーシャルメディア・プロフィールの詳細を使用して、策略をより説得力のあるものにします。
ホエール・フィッシング:企業幹部や富裕層を狙ったスピア・フィッシング攻撃です。
ビジネスメール詐欺(BEC):サイバー犯罪者が経営者やベンダー、信頼できるビジネス関係者を装い、被害者を騙して金銭を振り込ませたり、機密データを共有させたりする詐欺です。
ソーシャル・エンジニアリングのもう一つの手口であるテール・ゲーティングは、技術的な面では劣りますが、ITセキュリティーにとって脅威であることに変わりはありません。データセンターに物理的にアクセスできる個人(例えば、IDカードを持っている人物)を尾行(または「テーリング」)し、ドアが閉まる前に、文字通り背後に忍び込むものです。
DoS攻撃は、Webサイトやアプリケーションないしシステムを膨大な不正トラフィックで圧倒します。正規ユーザーが使用するには遅すぎたり、全く使用できないようになります。分散型サービス妨害(DDoS)攻撃は、インターネットに接続され、マルウェアに感染したデバイスのネットワーク(いわゆる「ボットネット」)を利用して、標的となるアプリケーションやシステムを麻痺させたり、クラッシュさせたりします。
ゼロデイ・エクスプロイトとは、コンピューターのソフトウェアやハードウェア、ファームウェアに存在する未知の、あるいはまだ対処されていないセキュリティー上の欠陥を悪用したサイバー攻撃の手法です。ゼロデイとは、悪意のあるアクターがすでにその欠陥を利用して脆弱なシステムにアクセス可能であるため、ソフトウェアやデバイスのベンダーがその欠陥を修正する時間が事実上ゼロであることを意味します。
内部脅威とは、従業員やパートナー、その他ネットワークへのアクセスを許可されたユーザーによる脅威です。意図的でなくても(サードパーティー・ベンダーが騙されてマルウェアを起動させるなど)、悪意がある場合でも(不満を抱いた従業員が復讐に燃えるなど)、内部脅威には威力があります。Verizon社のレポート(ibm.com外部へのリンク)によると、外部からの脅威が平均して2億件程度のレコードを危険にさらすのに対して、内部の脅威アクターが関与する脅威は10億件ものレコードを暴露しています。
MITM攻撃では、サイバー犯罪者がネットワーク接続を盗聴し、二者間のメッセージを傍受・中継してデータを盗みます。セキュリティー保護されていないWi-Fiネットワークは、MITM攻撃を仕掛けるハッカーの格好の狩場です。
サイバーセキュリティー脅威の残忍さと複雑さが増し続ける中、組織はさまざまなセキュリティー・システムやプログラム、テクノロジーを組み合わせたITセキュリティー戦略を展開しています。
経験豊富なセキュリティー・チームによって監督されるこれらのITセキュリティーの実践とテクノロジーは、組織のITインフラ全体を保護し、既知および未知のサイバー攻撃の影響を回避、軽減するのに役立ちます。
フィッシング攻撃などの多くのサイバー攻撃は、人間の脆弱性を悪用するため、従業員のトレーニングは内部関係者の脅威に対する重要な対策となっています。
セキュリティ意識向上トレーニングでは、従業員にセキュリティーの脅威を認識し、職場で安全な習慣を身に付けてもらうよう指導します。トレーニングで取り上げられるトピックには、フィッシングへの意識、パスワード・セキュリティー、定期的なソフトウェア・アップデート実行の重要性、顧客のデータやその他の機密情報を保護する方法などのプライバシーに関する問題が含まれます。
多要素認証は、ユーザー名とパスワードに加えて、1つ以上の追加認証情報を求めます。多要素認証を実装すると、ハッカーがネットワーク上のアプリケーションやデータにアクセスするのを防止できます。この認証は、ハッカーが正規のユーザーのユーザー名とパスワードを盗んだり入手したりした場合でも機能します。
多要素認証は、シングル・サインオン・システムを使用する組織にとって重要です。これらのシステムにより、ユーザーは一度セッションにログインすれば、そのセッション中、再度ログインすることなく、複数の関連アプリケーションやサービスにアクセスすることができます。
インシデント対応(サイバーセキュリティー・インシデント対応とも呼ばれる)は、サイバー脅威やセキュリティー侵害、サイバー攻撃を検知し、対応するための組織のプロセスとテクノロジーを指します。インシデント対応の目標は、サイバー攻撃を事前に防止し、サイバー攻撃によるコストとビジネスの中断を最小限に抑えることです。
多くの組織は、さまざまな種類のサイバー攻撃を特定し、封じ込め、解決するためのプロセスとセキュリティー・ソフトウェア(下記参照)を定めた正式なインシデント対応計画(IRP)を作成しています。「Cost of a Data Breach 2003 report(2023年データ侵害コスト・レポート)」によると、正式なインシデント対応計画を作成し、定期的にテストしている組織では、データ侵害のコストは平均(445万米ドル)より232,008米ドル低くなっていました。
単一のセキュリティー・ツールだけでは、サイバー攻撃を完全に防ぐことはできません。それでも、サイバーリスクの軽減、サイバー攻撃の防止、攻撃発生時の被害の最小化には、いくつかのツールが効力を発揮できます。
サイバー攻撃の検知と回避に役立つ、一般的なセキュリティー・ソフトウェアには次があります。
AIベースのフィッシング対策ソフトウェアやスパム・フィルター、セキュアなEメール・ゲートウェイなどのEメール・セキュリティ・ツール。
ウイルス対策ソフトウェアは、攻撃者がネットワーク・セキュリティーをターゲットにして、調査、会話の盗聴、Eメール・アカウントの乗っ取りを行うために使用する可能性がある、スパイウェアやマルウェアを無力化できます。
システムやソフトウェアのパッチは、スピア・フィッシングによって一般的に悪用される技術的な脆弱性を解決できます。
セキュアなWebゲートウェイやその他のWebィルタリング・ツールは、フィッシング・メールにリンクされている悪意のあるWebサイトをブロックできます。
脅威の検知・対応ソリューションは、分析や人工知能(AI)、オートメーションを使用して、セキュリティー・チームが既知の脅威や不審なアクティビティーを検知できるようにします。これらにより、セキュリティー・チームは脅威を排除したり、その影響を最小限に抑えたりするための措置を講じることができます。これらのテクノロジーには、セキュリティー・オーケストレーション、オートメーションおよび対応(SOAR)や、 セキュリティー・インシデントおよびイベント管理(SIEM) 、エンドポイント検知・対応(EDR )、 ネットワーク検知・対応(NDR )、 拡張検知・対応(XDR)が含まれます。
オフェンシブ・セキュリティー・オペレーションは、多くの場合、倫理的ハッカー 、つまりITシステムの欠陥を発見・修正するためにハッキング・スキルを駆使するサイバーセキュリティーの専門家によって実行されます。一般的なオフェンシブ・セキュリティーの手法には、次があります。
ペネトレーション・テスト—模擬サイバー攻撃を実行して、コンピューター・システムや対応ワークフロー、ユーザーのセキュリティー意識における脆弱性や弱点を明らかにします。Payment Card Industry Data Security Standard(PCI-DSS)などの一部のデータ・プライバシー規制では、コンプライアンスの要件として定期的なペネトレーション・テストの実施が規定されています。
レッドチーム化:倫理的なハッカーのチームに、組織に対してシミュレートされた目標指向のサイバー攻撃を開始する権限を与えます。
オフェンシブ・セキュリティーは、セキュリティー・ソフトウェアやその他のディフェンシブ・セキュリティ対策を補完し、他のセキュリティー対策では見逃してしまうこともある未知のサイバー攻撃経路、つまりベクトルを発見します。それにより、セキュリティー・チームが防御セキュリティー対策を強化するために使用できる情報が得られます。
重要な重複があるため、「ITセキュリティー」、「情報セキュリティー」、および「サイバーセキュリティー」という用語は、しばしば(そして誤って)同じ意味で使用されます。主に、その範囲が異なります。
実績のあるセキュリティーの専門知識と最新のソリューションを活用して、高度なサイバーセキュリティーの脅威からインフラストラクチャーとネットワークを保護します。これらのソリューションには、侵入検知と防止、エンドポイント・セキュリティー管理などが含まれます。
未知の脅威もインテリジェントに認識し、リアルタイムに防御するように適応する次世代ネットワーク・セキュリティー・ソリューションを使用して、高度な脅威やマルウェアからネットワーク全体を保護します。
データ侵害の原因や、コストを増減させる要因を理解することが、侵害に対する備えを強化するために重要です。データ侵害に見舞われた550以上の組織の経験から学ぶことができます。
SIEM(セキュリティー情報およびイベント管理)は、組織が業務に支障をきたす前に、潜在的なセキュリティー上の脅威や脆弱性を認識し、対処できるようにするソフトウェアです。
脅威に打ち勝つための脅威を知る - 脅威アクターがどのように攻撃を仕掛けているか、そして組織をプロアクティブに保護する方法を理解するのに役立つ実用的な洞察を提供します。