情報セキュリティはあらゆる企業・組織の課題です。では、企業・組織は情報セキュリティについて、どのような課題を持っているのでしょうか。2019年に、アメリカのITシンクタンクである451 Allianceは、「情報セキュリティにおける10の課題」というテーマで調査報告を行っています。本ブログでは調査報告の内容とその課題を解決する方法を解説します。
2019年版 情報セキュリティに関する調査報告
まず、2019年の調査で組織が認識している課題のトップ10は下記の通りでした。
情報セキュリティの知識がない、またはわかっていてあえて規則違反を犯してしまう「ユーザの行動」がトップとなりました。これ以外には、外部からの攻撃からの防御が必要となる「フィッシング詐欺」「クラウドセキュリティ」なども上位となっています。また、「情報セキュリティへの人材配置」ですが、アメリカと同様に日本でも2020年に情報セキュリティ人材が30万人不足するという経済産業省の調査報告が出ています。
次に、2020年情報セキュリティ分野のプロジェクトで課題となるテーマについての調査結果です。
事業継続に影響を与える「規制対応」は想定の範囲かと思いますが、同位で「セキュリティ運用の向上」が入っています。次に、「セキュリティ情報イベント管理 (SIEM)※1」などが が入っていることは、上記のITセキュリティ人材不足とも関連しており、できるだけ人手を用いずに運用管理を行いたいという組織の考えが反映されています。「セキュリティ自動化」がランクインしているのも、同様の背景です。
※1 SIEMとは“Security Information and Event Management”の略で、様々なネットワーク機器やサーバからの動作状況のログやセキュリティ情報を収集し、一元管理を行い、脅威となる事象を分析・検知するもの
公開鍵暗号方式で防げる脅威
外部からの攻撃、また脆弱性への対策が課題としてランクインしていますが、これらの課題については公開鍵暗号方式(PKI) を用いた電子証明書が活用できます。具体的な脅威と対策は以下の通りです。
1.メールセキュリティ
クラウドセキュリティ企業Avananの報告によると、従業員が受信するメールのうち、100通に1通はフィッシングメールである、という調査結果を報告しました。実際、2018年には世界中で83%の人々がフィッシング攻撃を受けており、結果として、「生産性の低下」「データの損失」「評判の低下」のような重要な損害が生じています。フィッシング詐欺は、引っかかった人だけが被害者ではありません。このメールはフィッシング詐欺なのか、そうでないのかを見極めるために時間を割いたユーザ全員が被害者であり、その結果、「生産性の低下」に繋がっています。
フィッシング詐欺の多くは、信頼できる企業や送信者を擬して送られることが多くあります。社員のセキュリティに関する知識や受信メールへの注意も必要ですが、組織内でのメールであればメール用の電子証明書を用いて暗号化し、本人の証明となるバッジを目印とすることでなりすましを見極めることができます。またメール用の電子証明書をつけておくことで受信者側に安全を見える化できます。
2.クライアントセキュリティ
スマートフォンの普及に伴い、ショッピングサイト利用やネットバンキングの利用が生活に溶け込む一方、不正アクセスよるID・パスワードの不正入手は後をたたず、不正アクセス禁止法違反事件の検挙状況でも一番の検挙件数になります。
そのためID・パスワードに加えて認証要素を複数用いることで、セキュリティを向上させる「多要素認証」の利用が一般的になってきています。種類として、ワンタイムパスワードや生体認証、デバイス用の電子証明書の利用などがあります。電子証明書はかつて、パソコンに限らずスマートフォンやタブレットなど、アクセスする可能性があるデバイス全てを管理対象にできるため、誰がどのデバイスでアクセスするかを完全に制御できます。
3.IoTセキュリティ
IoT (Internet of Things: モノのインターネット) のセキュリティについては、かねてから脆弱性が指摘されていたこともあり、2019年2月からは総務省が侵入調査を行い、IoT事業者への注意喚起を行っています。逆に言えば、国が注意喚起しなければならないほど、多数の脆弱性が放置されていることを意味します。
電子証明書を入れることで、証明書があるデバイスのみ安全な通信を行うことができるため、何千万、何億、何十億といった膨大なIoTデバイスのセキュリティ向上を実現できます。サーバ側が、証明書がインストールされていない端末から不正な攻撃を受けても、攻撃を全て弾くことで高い安全性を保つことができます。
まとめ
お伝えいたしました通り、公開鍵暗号方式(PKI) を用いた電子証明書はセキュリティが必要とされる多くの場面で活用できます。IoTの幅広い活用・セキュリティ向上についてお知りになりたい方は、GMOクラウドアカデミーもご覧ください。
関連リンク