情報社会においてパソコンやタブレット、スマートフォンなどのデバイスは、必要不可欠なものです。しかしそれらに不具合や被害をもたらすサイバー攻撃は、年々増加しています。個人にも企業にも、何らかのセキュリティ対策が求められているといえるでしょう。
本記事では、「サイバーセキュリティ」の定義とサイバー攻撃の種類、対策などをご説明します。
Contents
サイバーセキュリティの定義とは
サイバーセキュリティとは、情報における「機密性」「完全性」「可用性」の3つの点を維持することと定められています(JIS Q 27000)。
機密性 | 情報へのアクセス(閲覧など)が許可された場合に限 定されていること |
完全性 | 情報への操作(書込み、書換え、消去など)が許可された場合に限定されており、 改ざんなどがなされないこと |
可用性 | 情報へのアクセスが必要に応じて中断することなく、利用・制御できること |
これらの3つの点が維持できない「状況」や「可能性」がある場合、セキュリティの脅威とみなされます。
個人におけるサイバーセキュリティ
パソコンやスマートフォンは、生活や仕事に欠かせないものです。それらを安心・安全な状況で使用するには、サイバーセキュリティに対する知識と適切な対応が求められます。
一個人としてさまざまなデバイスを使用する場合、具体的にはどのような情報が求められるのでしょうか。
個人にまつわるさまざまな情報
相手を特定できる識別情報、いわゆる「個人情報」は以下が該当します。
- 氏名
- 住所
- 電話番号
- 顔写真
- クレジットカードの番号
- マイナンバーカード
- メールアドレス
- メッセージの内容
- 購入履歴
- ID
- パスワード など
個人でパソコンやスマートフォンなどを使用する場合、これらの情報を入力する機会が多いといわれています。主に電子メールやショッピングサイト、SNSやブログなどを利用した場合が考えられます。
個人が特定されるだけでなく、行動に関する情報も流出や漏洩する可能性があります。場合によっては、悪用されることもあるかもしれません。
企業・団体においてのサイバーセキュリティ
企業・団体においても、さまざまなデバイスを使用する機会があります。
情報管理者はもちろん企業・団体で働くスタッフであれば、サイバーセキュリティに対する知識と適切な対応が求められます。
企業・団体のスタッフとしてパソコンやスマートフォンなどを使用する場合、どのような情報を集めることがあるのでしょうか。
企業・団体においてのさまざまな情報
企業・団体のスタッフとしてさまざまなデバイスを使用する場合、以下の情報を入力・収集する機会が多いといわれています。企業・団体内のスタッフはもちろん、顧客の情報も集まります。
【企業・団体で働くスタッフの情報】
- 氏名・住所・電話番号・メールアドレス・生年月日・性別などの個人情報
- 勤怠
- 評価
- 学歴や資格・スキル
- 職務経歴
- PCの操作ログ など
【企業・団体に集まる顧客情報】
- 企業名
- 氏名・勤務先所在地・電話番号・メールアドレス・生年月日・性別などの個人情報
- 役職
- 業種・事業内容
- 購入履歴
- 問い合わせ内容
- SNSに投稿された文章 など
個人や企業・団体への攻撃
個人や団体におけるサイバー攻撃の種類については、年々多様化・巧妙化しています。
独立行政法人情報処理推進機構によると、個人や組織(企業・団体)において以下の情報セキュリティの脅威があると伝えています。
「個人」向け脅威 | 「組織(企業・団体)」向け脅威 | |
---|---|---|
インターネット上のサービスからの 個人情報の窃取 | 1 | ランサムウェアによる被害 |
インターネット上のサービスへの 不正ログイン | 2 | サプライチェーンの弱点を悪用した攻撃 |
クレジットカード情報の不正利用 | 3 | 内部不正による情報漏えい等の被害 |
スマホ決済の不正利用 | 4 | 標的型攻撃による機密情報の窃取 |
偽警告によるインターネット詐欺 | 5 | 修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃) |
ネット上の誹謗・中傷・デマ | 6 | 不注意による情報漏えい等の被害 |
フィッシングによる個人情報等の詐取 | 7 | 脆弱性対策情報の公開に伴う悪用増加 |
不正アプリによるスマートフォン利用者への被害 | 8 | ビジネスメール詐欺による金銭被害 |
メールやSMS等を使った脅迫・詐欺の 手口による金銭要求 | 9 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
ワンクリック請求等の不当請求による 金銭被害 | 10 | 犯罪のビジネス化 (アンダーグラウンドサービス) |
こうした情報セキュリティの脅威は、サイバー攻撃によるものが多いと見られています。
まずは代表的なサイバー攻撃の種類について、いくつかご紹介いたします。
フィッシング
フィッシングとは、相手のクレジットカード番号やアカウント(ID、パスワード)などの情報を盗み出す行為のことです。送信者を詐称したもしくは架空の人物を装って電子メールを送り、偽造したWebサイトからそれらの情報を得ていきます。
なおフィッシングはphisingと書き、英語の魚釣り(fishing)と洗練(sophisticated)を合わせた造語です。
マルウェア
マルウェアとは、ユーザのデバイスに不利益をもたらす悪質なソフトウェアやコードの総称です。英語の「Malicious(マリシャス=悪意のある)」 + 「Software(ソフトウェア)」 の造語から生まれました。
マルウェアには、以下の種類があります。
特徴 | 自己増殖能力 | |
---|---|---|
ウイルス | 電子メールやウェブサイト閲覧によって、コンピュータに侵入する悪質なプログラム。プログラムやファイルに寄生する | あり |
ワーム | 単体で動作し、他のファイルに寄生しない。デバイスの動作が遅くなり、場合によっては、機能停止に陥る | あり |
トロイの木馬 | 有益なプログラムと偽ってダウンロードさせ、悪意のある動作を行う。 無料ツールや、無害に見えるファイルになりすますのが特徴のため、悪質だと気づきにくい | なし |
スパイ ウェア | 個人情報やユーザの行動を集め、それらを外部に送り出す。感染したことに気づきにくく、発見されるまでユーザの情報や行動を監視続ける | なし |
ランサムウェア | ユーザのデータを暗号化し、使用不能にする。しかも復元を条件に、 身代金を要求する | あり |
ソーシャルエンジニアリング
ネットワークを利用する際に必要なユーザ名やパスワードを、情報通信技術を介さずに盗むことです。ソーシャルエンジニアリングには、主に以下のケースがあります。
なりすまし | 利用者やネットワーク管理者になりすまし、パスワードの情報を得る。その上で不正を行う。 |
ショルダーハッキング | パスワードの入力時に、肩越し(ショルダーハッキング)からその情報を盗み見ること。 |
トラッシング | ゴミ箱に棄てられたメモや書類、記憶媒体から、サーバやルータの 設定情報やIPアドレスなど機密情報を得ること。 |
サプライチェーン攻撃
悪意のある第三者が組織の供給網(サプライチェーン)に入り、その組織や顧客に対して何らかの損害を与えることです。組織の協力会社や関連会社などの連携を悪用し、ターゲットとなる企業や個人に攻撃します。
内部不正
顧客や製品などの機密情報を、内部関係者が漏洩・消失・破壊する不正行為のことです。組織に所属するスタッフに限らず、退職者や業務委託のスタッフ、取引先の担当者も内部関係者とみなされます。
さらに機密情報については悪意ではなく人的なミスであっても、内部不正と呼ばれることがあります。
基本的なサイバーセキュリティ対策例
サイバー攻撃からデバイスを守るために、何らかのセキュリティ対策を行わなくてはなりません。
個人や企業・団体などにおけるセキュリティ対策例を、いくつかご紹介します。
個人におけるサイバーセキュリティの対策例
個人でスマートフォンやパソコンを使用する場合、まずは以下の対策を行う必要があります。
個人におけるサイバーセキュリティの対策例 | ・身に覚えのないメールは開封しない ・ウイルス対策ソフトを入れる ・怪しいwebサイトは閲覧に注意 ・パスワードは推測されにくいものを使用し、定期的に変更 ・USBメモリは使用せず、情報を外部に持ち出さない. ・フリーWi-Fiは利用しない ・ファイアーウォールの設定をする ・ソフトウェアの更新プログラムを最新にする |
企業・団体におけるサイバーセキュリティの対策例
企業・団体においては個人におけるサイバーセキュリティの対策を踏まえた上で、組織としての以下の対策を行う必要があります。
企業・団体においてのサイバーセキュリティの対策例 | ・セキュリティポリシーの策定 ・情報管理担当者の選任 ・組織内の利用者の認証設定 ・サイバーセキュリティの教育と対策 ・災害や停電などの万が一のバックアップ ・定期的なバックアップ |
さらにセキュリティを強化するにはMDM
さらにサイバーセキュリティを強化したい場合は、MDMを導入するというのも一つの方法です。
MDMには以下の機能が備わっており、不正利用の防止や盗難紛失についての対策を行うことが可能です。
端末の紛失・盗難時も即座に対応
移動や出張、リモートワークなど、さまざまな場所でデバイスを使用する機会が増えています。それに伴い、セキュリティリスクも高まります。
MDMの導入前後で、以下のような違いがあります。
MDM導入前 | MDM導入後 | |
組織・団体の全てのデバイスに対し、パスワードロックを徹底することは難しい | パスワードロック | 全てのデバイスに対し、パスワードの設定を強制することができる |
デバイスを紛失・盗難、置き忘れた場合に、情報の漏洩や紛失、破壊の可能性がある | リモートロック | 遠隔操作で、デバイスをロック。第三者に情報の漏洩ができなくなる |
デバイスを紛失・盗難、置き忘れた場合に、情報の漏洩や紛失、破壊の可能性がある | リモートワイプ | デバイスを遠隔操作で消去でき、工場出荷時と同じ状態(初期化)が可能 |
MDMは、スタッフが使用するデバイスやデータを堅守することができます。ひいては個人情報保護法や著作権法など、コンプライアンスの要件を満たすことが可能です。
社内ルール・セキュリティポリシーの遵守
MDMを導入すると、デバイスにおける業務に不要なアプリや機能、Webサイトの利用や閲覧を制限できます。
こうしたデバイスの制限を行うことにより、MDMは
- 社内のルールの運用
- セキュリティポリシーを遵守する組織づく
などに寄与することができます。
内部不正の防止・サイバーセキュリティ対策
MDMを導入すると、複数のデバイスの利用状況を確認することが可能です。
内部不正につながる不正な利用や行為を事前に防止できるため、迅速にサイバーセキュリティ対策をとることができます。
また退職者や派遣社員、パートやアルバイトなどのデバイスについても、機密情報を完全に削除できます。
関連記事:MDMによるセキュリティ対策をご紹介!MDMの導入でセキュリティを強化
個人も組織にもセキュリティ対策できるBYODが可能に
BYODとは、個人の所有しているデバイスをビジネスに活用することです。しかし BYODで運用する際には、情報漏洩や不正アクセスが伴う可能性があります。
MDMを導入すれば、
- 利用状況の把握
- 機能の制限・設定
- リモートロック
- リモートワイプ
- パスワードの強制
- Webフィルタリング
- 位置情報の把握
などが可能となり、安全で効率的なセキュリティ対策が行えます。
関連記事:MDMツールの機能を一覧で解説!運用の効率化や利用状況の把握など
関連記事:BYODにおけるMDMの役割・効果とは?BYODの課題を解決して安全なデバイス運用を実現しよう
モバイル端末のセキュリティ対策ならCLOMO MDM
さまざまなMDMが展開されている中で、CLOMO MDMはMDM市場で14年連続シェアNo.1*を誇っています。
CLOMO MDMは、豊富な機能の搭載や幅広いデバイスへの対応はもちろん、上記で解説したサポートや操作性の良さも特長です。
管理画面はわかりやすく使いやすい仕様で、特別な知識やトレーニングなしで、すぐに利用開始できます。また、国産のMDMサービスのため、メーカーからの直接サポートや日本語での電話サポートを受けられます。24時間365日、有人オペレータが緊急対策の代行も行っています。
更に、CLOMO MDMには、AIのディープラーニングを活用した次世代型ウイルス対策ソフト”Deep Instinct“をオプションで提供しています。”Deep Instinct”のご利用により、従来のアンチウイルスソフトでは検知できなかった未知のウイルスからの防御が可能になります。
あらゆる業界で利用されており、企業はもちろん、学校や病院などの教育機関や医療機関への導入事例も豊富です。市場シェアNo.1*のCLOMO MDMで、安心・安全なデバイス管理を行いましょう。
*出典:デロイト トーマツ ミック経済研究所「コラボレーション/コンテンツ・モバイル管理パッケージソフトの市場展望」2011〜2013年度出荷金額、「MDM自社ブランド市場(ミックITリポート12月号)」2014~2023年度出荷金額・2024年度出荷金額予測
まとめ
MDMは、複数のモバイルデバイスを一元管理するシステムです。MDMを導入することで、デバイスの運用・管理の効率化や利用状況の把握、盗難・紛失対策ができます。スマートデバイスの重要性が高まる企業や学校などの組織において、導入が進んでいます。搭載機能やサービスの形態、サポート体制の充実度などを考慮し、自社に最適なMDMを導入することが重要です。
CLOMO MDMは、多機能性や幅広いデバイス対応、24時間365日のサポート体制により、企業のデバイス管理を強力にサポートします。製品の機能・活用事例のダウンロードや製品についてのお問い合わせもできるため、ぜひご活用ください。CLOMO MDMで、デバイス管理の課題を解決し、ビジネスの効率化を図りましょう。
監修者
杉本 裕基
CLOMO事業本部 コンサルティングサービス部
2021年、CLOMO事業本部 コンサルティングサービス部に入社。前職のクラウドセキュリティサービスを提供する企業では、グループウェアやIDaaSなどのSaaS全般にわたる導入支援を担当。その経験を活かし当社でも特にセキュリティ面で不安を抱えるお客様向けの端末設定、運用周りに関するサポートを行っている。