情報セキュリティガイド

情報セキュリティ（Infosec）とは？

情報セキュリティ（Infosec）とは、企業などがデータを守るために用いる戦略やプロセスのことです。未承認の者が機密の企業情報や個人情報にアクセスできないよう、セキュリティ設定を行います。情報セキュリティは、システムやネットワークの安全性から検証やテストまで含む、急速に発展する分野です。

データセキュリティは、未許可のアクセス、変更、記録、そして破損や消失から機密情報を守ります。目的は、顧客の口座情報、財務データ、そして独自技術など、重要な情報を安全な状態に保つことです。

‍

サイバーセキュリティと情報セキュリティ

情報セキュリティは、対象範囲や目的においてネットワークセキュリティと異なります。両者は時に同じ意味で使われることもありますが、ネットワークセキュリティは情報セキュリティの一部に過ぎません。エンドポイントセキュリティ、データ暗号化、システムの安全性などが情報セキュリティの傘下に含まれ、また通常の災害や電源障害から情報を守る認証も関連しています。

‍

Infosecの3原則

完全性、機密性、可用性は、伝統的な情報セキュリティ工学の3つの基本概念です。各セクションでいずれかの原則を実施する必要があります。これらは、CIAトライアドとして知られています。

完全性

不正な変更（追加、削除、編集等）から情報を守ることを完全性と呼びます。この原則は、情報が正確で信頼でき、誤りや改ざんがないことを保証します。

機密性

秘密保持の方法により、情報が未承認の開示から守られます。この原則により、個別の情報は必要な者だけが閲覧できるように管理されます。

可用性

システムが、利用者が必要とする際にプログラムやデータを完全に利用できる状態を維持することを可用性（または定時性）と言います。目的は、システム、アプリ、データが業務や貴社の利用者の要求に応じて利用可能であることです。

ISP - 情報セキュリティポリシー

情報セキュリティポリシー（ISP）とは、ITリソースを利用する際に守るべきガイドラインの集合です。企業は、セキュリティルールを遵守させることで、効果的なデータセキュリティ戦略を実施できます。認可された者だけが、機密システムや情報へアクセスできるよう定められています。

強固なセキュリティ戦略を策定し、その実施状況を確認する措置を講じることは、リスクの防止と管理において重要です。貴社の状況や新たな脅威、過去の違反事例、セキュリティシステムやツールの変更を反映するため、方針は定期的に更新する必要があります。

InfoSecの種類

情報セキュリティには、さまざまな種類が存在します。これらのサブカテゴリは、対象となる情報、データを守る技術、そして保護すべき領域に関するものです。

• クラウドセキュリティ

クラウドセキュリティは、クラウドやクラウド関連の資産・データを、アプリやシステムのセキュリティと同様に守ります。インターネット接続型サービスやパブリッククラウドなど、共有環境から生じるリスクに対し、追加の保護策を提供し、セキュリティポリシーやツールを一元管理することで、分散資産の状態やリスクを把握しやすくします。

• アプリセキュリティ

アプリケーションやAPIを守るための対策をアプリセキュリティと呼びます。これらの手法を用いれば、システム内の脆弱性や欠陥を未然に防ぎ、検出し、修正することが可能です。アプリやAPIの弱点は、システム全体への入口となる恐れがあるため、大変重要です。

専用のアプリ保護、検証、テストツールが、アプリセキュリティの大部分を占めています。問題が検出された場合、リリース前や悪用される前に対処できるようになります。アプリセキュリティは、利用するアプリとWallarmが開発するアプリの双方に適用されます。

• システムセキュリティ

ネットワーク、サーバ、端末、モバイル、データセンターなどの基幹システムは、システムセキュリティ対策により守られます。十分な保護がなければ、これらの相互接続により情報が危険に晒される可能性があります。

システムの一部が不具合や侵害された場合、全体に影響が及ぶ可能性があるため、条件を制御しつつ、必要な通信を維持することがシステムセキュリティの重要な目的となります。

• インシデント対応

インシデント対応とは、攻撃、災害、システム障害、または人的ミスなど、被害事象を検知、調査、対応するための手順とプロセスの組み合わせです。これにより、情報へのダメージを最小限に抑えます。

• 暗号技術

暗号技術は、情報の内容を暗号化することで守ります。適切な暗号鍵を持つ利用者だけが情報にアクセスでき、鍵がなければデータは意味をなさなくなります。セキュリティチームは、保存中や送信中も情報の機密性と完全性を保つために暗号化を活用しますが、復号後の情報は、不正アクセスなどに脆弱となる場合があります。

• 脆弱性管理

脆弱性管理は、アプリやシステム固有のリスクを低減するプロセスです。目的は、脆弱性を早期に検出し、悪用される前に修正することにあります。これにより、データや資産の安全性が向上します。

脆弱性評価には、スキャン、評価、検証などの手法が用いられ、通常は自動化されることで定められた基準に沿った検査が行われ、迅速に脆弱性が発見されます。さらに、システムを継続的に監視し、リスクや潜在的欠陥を探る「リスクハンティング」も有効です。

• ‍災害復旧

予期せぬ災害により企業が損失や被害を受ける可能性があるため、災害復旧計画は重要です。ランサムウェア、自然災害、システムの脆弱性などが例として挙げられ、データの復旧、システムの再構築、業務の再開などが主要な対策となります。

一般的な情報セキュリティリスク

日々の業務において、さまざまな脅威がシステムやデータの安全性に影響を与える可能性があります。以下は、留意すべき情報セキュリティの脅威です。

• Advanced persistent threats (APT)

高度な持続的脅威（APT）とは、攻撃者が長期間にわたってシステムに侵入し続けることを指します。これらの攻撃は、後から機密情報を収集するためや、将来の攻撃の下準備として行われます。APT攻撃は、ライバル国、過激派組織、または業界内の競合によって行われることが多いです。

• Insider threats

内部脅威とは、企業内部の関係者による過失や悪意ある行動を指します。こういった攻撃は、正当な権限を悪用してシステムや情報に近づくことから発生します。従業員が誤って情報を公開してしまったり、マルウェアをダウンロードしたり、資格情報が流出するなどの事故が含まれます。内部関係者が意図的に情報を損なったり抜き取ったりする場合もあります。

• Social Engineering

ソーシャルエンジニアリングとは、心理学を利用して利用者から情報やシステムへのアクセスを引き出す手法です。フィッシングはその一例で、主にメールを通して行われます。攻撃者は信頼できる、または正当な情報源を装い、情報提供や行動を促します。たとえば、偽のログインページを表示して利用者に個人情報を入力させ、資格情報や機密データを盗み出す手法です。

• Security Misconfiguration

ウェブアプリ、データベース、さらにAmazon Web ServicesなどのSaaSやIaaSは、現代のビジネスで利用される技術やツールの一部です。セキュリティ設定は、大企業向けシステムやクラウドサービスで利用可能ですが、企業側で適切に設定する必要があります。不適切な設定や人的ミスにより、セキュリティ上の問題が発生する場合があります。また、「設定の浮遊」として、システムの正しいセキュリティ設定が速やかに解除され、ITやセキュリティ担当者が情報にアクセスできなくなるケースもあります。

• Lack of Encryption

暗号化がなされない場合、情報は不正アクセスや改ざんに対して脆弱となります。暗号化技術は、情報を暗号化し、正しい鍵を持つ利用者のみが解読できる仕組みです。システム障害や盗難時にも、情報漏洩や改ざんを防ぐ効果があります。

しかし、その複雑さや適切な実施基準の欠如から、この対策が軽視されることもあります。多くの企業が、暗号化対応のストレージデバイスや暗号化されたクラウドサービス、あるいは専用のセキュリティ技術を採用するようになっています。

• Malware

マルウェアは、情報を暗号化して身代金を要求するソフトウェアです。情報の復号のために、攻撃者は企業に対してデータや業務、もしくは金銭の支払いを求めることが多いです。使用されるランサムウェアの種類によっては、復旧が難しい場合もあり、その際は感染したシステムをクリーンなバックアップに置き換えることが唯一の対策となります。

• Cryptojacking

攻撃者が企業のシステム資産を利用してビットコインの採掘を行うことを、Cryptojackingと呼びます。攻撃者は、利用者にマルウェアをダウンロードさせたり、悪意あるファイルを開かせたりすることでこれを実行します。また、採掘スクリプトが含まれるサイトを訪れた場合、ローカルで攻撃が行われることもあります。

• MitM attack

通信が暗号化されていない場合、MitM攻撃が発生します。攻撃者は、送受信されるリクエストやレスポンスを傍受して、その内容を読み取ったり、変更したり、利用者の通信を乗っ取ったりします。

MitM攻撃には、以下の形態があります：

• セッションハイジャック：攻撃者が自身のIPアドレスを用いて正当な利用者を装い、システムにアクセスする手法。
• IPスプーフィング：攻撃者が信頼できる者になりすまし、悪意ある情報を送信したり、システムから情報を引き出す手法。
• 盗聴攻撃：攻撃者が正当な利用者同士の通信を傍受し、情報を収集する手法。

情報セキュリティと法規制

EUの一般データ保護規則（GDPR）は、最も著名なセキュリティ規制です。この規則は、欧州連合居住者の個人データの収集、利用、保存、安全性、送信などを管理します。

GDPR

GDPRは、EU居住者と取引を行うすべての企業に適用され、所在地に関係なく対象となります。規定に違反した場合、全世界の取引額の最大4%または2000万ユーロの罰金が科される可能性があります。

GDPRの主な目的は、

• 個人データの保護を基本的人権と位置付けること。
• セキュリティ要件の遵守状況を評価すること。
• セキュリティ対策の適用方法を標準化すること。

Information Protection Legislation in the United States

その他の規制は存在するものの、現在、米国では情報セキュリティを包括的に規定する連邦法はありません。特定の種類あるいは用途の情報には、それぞれの法律が適用されます。以下はその一例です：

• 連邦取引委員会法は、企業が利用者に対し虚偽のセキュリティ規定を示したり、実際の保護を怠ったり、誤解を招く広告を行うことを禁止しています。
• 児童オンラインプライバシー保護法は、未成年者の個人データの保護を規定しています。
• 健康保険の携行性と説明責任に関する法律（HIPAA）は、医療データの保存、共有、利用方法を管理しています。
• Gramm Leach Bliley法（GLBA）は、金融機関や銀行が個人データを収集し守る方法を定めています。
• 公正信用報告法は、信用情報およびその報告の収集、利用、提供を管理します。
• 連邦取引委員会（FTC）も、不正または不当な取引、ならびに情報セキュリティ・保護に関して利用者を守る責務があり、ガイドラインの策定、規制の施行、違反者への対応、企業の恐喝疑惑の調査などを行っています。

さらに、米国の25州では個別の情報保護法が制定されています。特に、カリフォルニア州消費者プライバシー法（CCPA）は有名で、カリフォルニアの利用者は、自身のデータの閲覧、削除要求、ならびに2020年1月施行の法律に基づきデータの収集や取引の拒否を選択できます。

‍

情報セキュリティのためのツール

多様な手法と技術を組み合わせることで、実効性のある情報セキュリティ戦略を構築できます。以下は、主要な技術の例です。

• SIEM

SIEMソリューションは、さまざまなソースからデータを収集・統合するために利用されます。このデータの集約により、問題の早期発見、アラートの効果的な管理、そして詳細な調査が可能となります。SIEMは、システムイベントのログ記録や、実行・イベントレポートの作成にも用いられ、これらのデータはコンプライアンスの証明やさらなる改善に活用されます。

• Firewalls

ファイアウォールは、企業やアプリに追加の保護層を提供するツールです。トラフィックを制御し、情報の監視・検査を行う仕組みを提供します。あらかじめ定められた許可トラフィックと不許可トラフィックのパターンや、通信の量・速度を管理するルールを備えています。

• DLP - Data loss prevention

DLPは、情報の損失や改ざんを防ぐためのツールや方法を指します。情報の分類、バックアップ、そして社内外への移動を監視することで、機密データの不適切な共有などを検出できます。

• IPS - Intrusion prevention system

IDSとIPSは、いずれも不審な通信に対してリクエストを遮断したり、接続を断つことで対処するセキュリティ対策です。IPSは、セキュリティポリシーに基づいてネットワークトラフィックを管理するために用いられます。

• IDS - Intrusion detection system

IDSは、ネットワークトラフィックを監視し、不審な通信を検知するソフトウェアです。不審な活動があると、通信内容を分析しアラートを発します。

• Blockchain cybersecurity

ブロックチェーンは、不変のブロックチェーンイベントに基づいたセキュリティ技術です。分散した利用者のネットワークが、取引の正当性を検証し、その完全性を維持します。これらの技術はまだ初期段階ですが、製品に取り入れ始める企業も見受けられます。

• UBA – User behavioral analytics

UBAは、利用者の行動データを収集・解析し、通常のパターンからの逸脱を検知するソリューションです。疑わしい動きがあった場合、潜在的なリスクとしてシステムが警告を発します。たとえば、大量のデータ送信など、内部脅威を示す行動を検出します。

• CSPM - Cloud security posture management

CSPMは、クラウド資産のセキュリティ状態を評価するための手法とツールの組み合わせです。設定の確認、基準との照合、そしてセキュリティ対策が正しく実施されているかの検証を行います。多くの場合、対策の改善アドバイスやルールも含まれ、セキュリティ体制の向上を支援します。

• EDR - Endpoint detection and response

EDRは、エンドポイントの活動を監視し、不審な動作を検出、そして自動的に対応するセキュリティソリューションです。これにより、エンドポイント機器の可視性が向上し、システムや情報が不正に触れられるリスクを低減できます。継続的なデータ収集、検出エンジン、及びイベントの記録が特徴です。

‍

‍

情報セキュリティ認証

情報セキュリティ戦略の策定にあたって、従業員が十分な知識を持つことは重要です。以下は、最も著名な認証の2種類です。

CompTIA Security+は、基本的なサイバーセキュリティの知識があることを証明します。ジュニアアナリストや初級レベルの担当者向けで、ITセキュリティの基礎スキルを網羅しています。

Certified Information Systems Security Professional（CISSP）は、通信、リスク管理、評価・テストなど、8つの情報セキュリティ分野での能力を証明します。

‍

Wallarmによる情報セキュリティ

SOC、CISCO、そしてInfoSecセキュリティチームは、Wallarmを活用することで、より高い可視性と制御性を得ることができます。企業はWallarmにより、幅広い情報セキュリティの課題に対応し、データを守り、整然とした状態を維持できます。

Wallarmが提供する製品：

• Cloud WAF
• API Security Platform
• WAFテストサービス - GoTestWAF