サイバーセキュリティとは何ですか?
サイバーセキュリティとは、コンピュータ システム、ネットワーク、アプリケーション、データをデジタル脅威、悪意のある攻撃、不正アクセスから保護することです。 進化するサイバーリスクからデジタル環境を保護するために設計されたさまざまな戦略、テクノロジー、プロセスを網羅しています。
サイバーセキュリティはなぜ重要なのか?
サイバーセキュリティの目的は、サイバー脅威、ソフトウェアの脆弱性、システムの弱点に直面しても、機密情報と技術リソースの機密性、整合性、可用性を確保することです。 しかし、最も効果を上げるには、サイバーセキュリティを積極的に取り組む必要があります。 プロアクティブなサイバーセキュリティは、インシデントが発生した後に対応するのではなく、脆弱性や脅威が実行される前に特定して対処することに重点を置いています。 プロアクティブなセキュリティは人工知能 (AI) の助けを借りてのみ実現可能であることがますます明らかになっています。 悪意のある行為者が AI や生成 AI などのアプリケーションを活用して攻撃キャンペーンを強化しているのと同様に、防御側は、サイバー犯罪者とセキュリティ チームの間で拡大し続ける軍拡競争で耐性を維持するために、機械学習による自動保護を採用する必要があります。
脅威(および緩和策)の進化が止まることはないという認識のもと、回復力のあるセキュリティを実現し、顧客体験を効果的にバランスさせることが、ポジティブなサイバーセキュリティ モデルのベンチマークとなります。
一方、コンピューティング インフラストラクチャとデジタル資産の周囲に侵入不可能なバリケードを構築すること (厳格なセキュリティ体制など) は、それ自体では成功するサイバーセキュリティ戦略とは言えません。 秘密を守ることによるセキュリティも同様です。 セキュリティ専門家は、可能性と影響に基づいてサイバーセキュリティ リスクを正確に評価する必要があります。つまり、特定の脅威が特定の脆弱性を悪用する可能性と確率を、悪用が発生した場合に生じる影響や損害と比較検討する必要があります。 サイバーセキュリティは、常に進化する脅威の状況、幅広い攻撃ベクトル、そしてセキュリティと使いやすさのバランスを取る必要性を伴う複雑な分野です。
さらに、組織がデジタル化を進めるにつれて、セキュリティはビジネス上ますます重要になってきており、運用コスト モデルからビジネスの推進力や競争上の優位性へと大きく変化しています。
一般的な脅威と用語
悪意のある攻撃者が新しい戦術、技術、手順 (TTP) を開発するにつれて、サイバーセキュリティの脅威は絶えず進化しています。 ただし、多くのリスクは、次の確立された形態のサイバー脅威から進化したもの、または TTP を組み合わせてより大きな悪意のある影響を与えるハイブリッド (または混合) 攻撃です。
マルウェアは悪意のあるソフトウェアであり、多くの場合、電子メールまたはメッセージ内のクリック可能なリンクを介して配信され、システムに感染してセキュリティを侵害するように設計されています。 マルウェアの一般的な種類には、ウイルス、ワーム、トロイの木馬、スパイウェア、そして増加傾向にあるランサムウェアなどがあります。
ランサムウェアは、システムのデータを暗号化して組織のデータを事実上人質に取り、攻撃者がデータのロックを解除するか復号キーを提供する代わりに支払い(身代金)を要求するマルウェアの一種です。
フィッシングとは、偽の電子メールやメッセージを使って個人を騙し、パスワード、クレジットカード番号、個人データなどの機密情報を漏らす攻撃です。
ソーシャル エンジニアリング攻撃では、行動特性や心理特性を操作して被害者を欺き、機密情報を漏らさせたり、セキュリティを危険にさらすような行動や決定をさせたりします。 フィッシングとソーシャル エンジニアリングは、被害者を操るために組み合わせて使用されることが多く、フィッシング メールの後に信頼できる個人 (銀行や IT 部門など) になりすました人物からの電話が続くなど、非常に標的を絞ったものになることがあります。
分散型サービス拒否 (DDoS) 攻撃は、ターゲット リソースに大量のトラフィックを集中させ、動作不能になるほど過負荷状態にすることでインフラストラクチャを劣化させます。 サービス拒否 (DoS) 攻撃は、アプリケーションのパフォーマンスを低下させる特別に細工されたメッセージを通じて開始されることもあります。たとえば、複雑な SQL クエリを生成する Web 要求によって CPU 使用率が上昇し、システム パフォーマンスが低下します。 DDoS 攻撃には複数のソースまたはボットネットが関与します。ボットネットとは、攻撃者の制御下にある侵害されたコンピューターまたはデバイスのネットワークであり、攻撃者はこれらの複数のソースを調整してターゲットに対して攻撃を開始します。
中間者 (MitM)攻撃は、攻撃者が両者の知らないうちにまたは同意なしに両者間の通信を傍受し、会話を盗聴したり、情報を盗んだり、さらには送信中のデータを操作したりするときに発生します。 MitM 攻撃はさまざまな方法で発生する可能性があります。 攻撃者は、公衆 Wi-Fi ネットワーク内の無線通信を傍受したり、セッション クッキーやトークンを盗んでユーザーになりすまし、Web アプリケーションに不正にアクセスするセッション ハイジャックを実行したりする可能性があります。
内部脅威とは、組織のシステム、データ、またはネットワークにアクセスできる組織内の個人によって引き起こされるセキュリティ リスクです。 これらの個人は、現在の従業員、元従業員、請負業者、パートナー、または正当なアクセス権限を持つ人である可能性があります。 内部脅威は意図的なものも意図的でないものもあり、妨害行為、データ盗難、データの不適切な取り扱い、フィッシングやソーシャル エンジニアリング攻撃への陥れなど、さまざまな種類のサイバーセキュリティ インシデントを引き起こす可能性があります。
Web アプリケーション攻撃は、脆弱性を悪用してセキュリティを侵害することを目的として、Web アプリケーション、Web サイト、および Web サービスを対象とした悪意のある活動です。 アプリの最新化の取り組みと、その結果としてハイブリッドおよびマルチクラウド環境全体で多くの従来の Web アプリが API ベースのシステムへと進化したことにより、脅威の対象範囲が劇的に拡大しました。
セキュリティ チームが Web アプリと API に関して考慮しなければならないリスクは多数あります。たとえば、次のようなものがあります。
- 脆弱性の悪用。これは、犯罪者が悪意のあるコードの実行など、セキュリティを侵害するために標的とするソフトウェアの弱点または欠陥です。 これらは、多くの場合、サポートされていないソフトウェアやパッチが適用されていないソフトウェア、ソフトウェアのバグ、または誤った構成によって発生します。
- ビジネス ロジックの悪用。これは、攻撃者が悪意のある目的を達成するために Web アプリケーションの予想される動作を操作するときに発生します。 これには、アプリケーションのワークフローを操作して制限された領域にアクセスしたり、許可されていないトランザクションを実行したり、機密データにアクセスしたりすることが含まれる場合があります。 ボットや悪意のある自動化は、コンサートチケットの購入を妨害したり、ポイントを盗んだり、顧客のアカウントを乗っ取って詐欺行為を行ったりと、現代生活のあらゆる側面に影響を及ぼしています。
- 認証および承認制御のバイパス。これは、アクセス制御と承認の実施が不十分なために、攻撃者が不正な機能またはデータにアクセスできる場合に発生する可能性があります。
- クライアント側攻撃は、Web ブラウザやインストールされたアプリケーションなど、ユーザーのデバイス内のソフトウェアまたはコンポーネントを標的とする脅威です。 クライアント側攻撃の一般的な形式は、クロスサイト スクリプティング (XSS)です。これは、攻撃者が JavaScript などの悪意のあるクライアント側スクリプトを他のユーザーが閲覧する Web ページに挿入する攻撃です。 これにより、ログイン資格情報、個人データ、セッション Cookie などの機密情報が盗まれる可能性があります。 最新のアプリには通常、サードパーティの統合、ライブラリ、フレームワークなど、多くの相互依存関係があります。 セキュリティ チームは、クライアント側で実行されるすべてのコンポーネントを把握していない可能性があります。これにより、攻撃者が悪意のあるスクリプトを実行し、Web ブラウザーから直接データを盗み出す脅威ベクトルが生まれます。
- セキュリティの誤った構成。攻撃者が、パッチが適用されていない欠陥、共通のエンドポイント、安全でないデフォルト構成で実行されているサービス、または保護されていないファイルやディレクトリを見つけて、システムに不正にアクセスしようとします。 アーキテクチャが分散化され、マルチクラウド環境に分散されるようになると、セキュリティの誤った構成のリスクが増大します。
- 暗号化の失敗。これは、データが転送中および保存中に適切に保護されていない場合に発生する可能性があります。
- Web アプリケーション攻撃の詳細については、 OWASP Foundationの用語集のエントリまたはOSWASP Top 10 Application Security Risks ホームページを参照してください。
一般的なサイバーセキュリティ用語と概念
以下は、サイバー攻撃に関連する専門用語と概念の定義と説明です。
ゼロデイエクスプロイトとは、公開されていないソフトウェアの脆弱性やセキュリティ上の欠陥を悪用するサイバーセキュリティ攻撃を指します。 これらのエクスプロイトは、ソフトウェアベンダーや開発者がゼロデイ脆弱性に対するパッチや修正プログラムをリリースする前に発生します。 ゼロデイ攻撃は、攻撃から保護するためのパッチや一時的な対策がないため、緩和機能や脆弱性悪用に対する可視性が不足している可能性のあるシステムを標的とするため、特に危険です。
APT (Advanced Persistent Threat) は、組織化されたサイバー犯罪グループまたは膨大なリソースと専門知識を持つ国家レベルの攻撃者によって実行される、高度で長期的なサイバー攻撃であり、多くの場合、世界的な不安定化につながるスパイ活動、データ盗難、破壊活動、または誤報を目的としています。 APT は持続性とステルス性が特徴で、これらの攻撃は長期間に及ぶことが多く、主な目的は検出されずに標的のネットワークまたはシステムへの不正アクセスを維持することです。 APT のライフサイクルは、偵察と最初の侵害から始まり、データの収集と流出まで、何年も続くことがあります。
- セキュリティ情報およびイベント管理 (SIEM)は、セキュリティ情報管理 (SIM) 機能とセキュリティ イベント管理 (SEM) 機能を組み合わせて、リアルタイムの監視、脅威の検出、インシデント対応機能を提供するサイバーセキュリティ ソリューションです。 SIEM システムは、組織の IT インフラストラクチャ全体のさまざまなソースからセキュリティ データを収集、集約、相関、分析して、潜在的なセキュリティの脅威とインシデントを特定します。 SIEM システムの主要コンポーネントは次のとおりです。
膨大な量のログとイベント データを保存および管理するログ管理。 これらのツールは、このデータのインデックス作成、検索、アーカイブ化のためのツールを提供し、分析やコンプライアンスの目的でデータにアクセスできるようにします。
セキュリティ イベント相関は、複数のソースからデータを検索し、セキュリティの脅威を示す可能性のあるパターンと異常を識別します。 この相関関係は、通常のアクティビティと潜在的なセキュリティ インシデントを区別するのに役立ちます。
脅威インテリジェンスは、一部の SIEM システムが提供するもので、既知の脅威や侵害の兆候 (IoC) を識別するシステムの機能に加えて、サードパーティのリアルタイムの脅威フィードを統合して新しいタイプの攻撃シグネチャをブロックまたは検出します。
- 侵入テストは「ペンテスト」と略されることが多く、コンピュータ システムやアプリケーションに対する実際のサイバー攻撃をシミュレートして脆弱性を特定します。 ペンテストでは、熟練したセキュリティ専門家が脆弱性を悪用して、悪意のある攻撃者が攻撃する前に、さまざまな攻撃ベクトルに対する弱点を特定します。 ペンテストには主に 3 つの種類があります。
- ブラック ボックス テストでは、テスターはターゲット環境に関する事前の知識が限られているか、まったく知識がありません。 これは、システムに関する最小限の情報を使用して実際の攻撃者をシミュレートします。
- ホワイト ボックス テストでは、テスターはシステム アーキテクチャ、ソース コード、構成など、ターゲット環境に関する完全な知識を持っているため、より包括的な評価が可能になります。
- グレー ボックス テストでは、テスターはターゲット環境について部分的な知識を持ちます。これにはシステムの詳細が含まれる場合もありますが、ソース コードやアーキテクチャへの完全なアクセスは含まれません。
- 自動化された脅威とは、人間ではなくボット、スクリプト、またはハッカー ツールキットによって実行される悪意のある攻撃を指します。 これらの脅威は、Web アプリケーションや API に内在する脆弱性を悪用し、セキュリティ侵害、データ盗難、アカウント乗っ取り、詐欺、その他の有害な結果を引き起こす可能性があります。 ボットセキュリティは、悪意のある活動や潜在的な脅威から保護するために、今日のデジタル環境において最も重要であり、ボット管理ソリューションは、ボットトラフィックを識別して軽減し、正当なユーザーと悪意のあるボットを区別する上で重要な役割を果たします。
- アクセス制御は、組織のコンピューティング環境内で特定のリソースにアクセスしたり、特定のアクションを実行したり、特定のサービスを使用したりできるユーザーを決定するセキュリティ対策とポリシーです。 アクセス制御は、組織のデジタル資産と機密情報を保護する上で基本的な役割を果たします。 アクセス制御と承認の不十分な実施により、攻撃者が不正な機能やデータにアクセスできるようになることで生じるアクセス制御の不備は、OWASP Top 10 および API Security Top 10 プロジェクトで特定された主要なセキュリティ リスクの 1 つです。 商取引がデジタル チャネルに移行し、API が普及している現状では、従来の Web アプリケーションほどきめ細かいアクセス制御やテストができない可能性があるため、認証と承認はこれまで以上に重要になっています。
サイバーセキュリティ対策とベストプラクティスとは?
サイバースペースのセキュリティを確保するのは困難ですが、以下の対策とベストプラクティスは、堅牢なサイバーセキュリティ計画とプロセスの開発と実装に役立つさまざまなツールと戦略の基本的な概要を提供します。
認証とアクセス制御
認証とアクセス制御はサイバーセキュリティの基本要素であり、許可されたユーザーのみがシステム、データ、リソースにアクセスできるようにします。 最小権限の原則やゼロ トラスト セキュリティなど、これらの分野でベスト プラクティスを実装することは、機密情報を保護し、組織のデジタル環境の整合性を維持するために不可欠です。
認証およびアクセス制御の方法論には以下が含まれます。
- 強力なパスワード ポリシー。 強力なパスワードは、システムやデータへの不正アクセスに対する第一の防御線です。 明確に定義されたパスワード ポリシーは、ユーザーが安全なパスワードを作成して維持するのに役立ちますが、パスワード クラッキング ツールがますます高度化しているため、長いパスフレーズの方が単純なパスワードよりもはるかに保護力が高くなります。 ポリシーでは、クレデンシャルスタッフィング攻撃やアカウント乗っ取りの主な原因であるパスワードの再利用を禁止する必要があります。 堅牢なパスワード ポリシーは不可欠ですが、包括的なセキュリティ戦略の一側面に過ぎず、CAPTCHA などの厳格なセキュリティ チャレンジを使用せずに顧客を安全に認証できる多要素認証や認証インテリジェンス ソリューションなどの他のセキュリティ機能と組み合わせる必要があります。
- 多要素認証 (MFA)。 MFA では、ユーザー名とパスワードまたはパスフレーズを入力することに加えて、アプリケーション、リソース、オンライン アカウント、またはその他のサービスにアクセスするために、ユーザーが追加の要素を提示する必要があります。 一般的には、電子メールや SMS メッセージからワンタイム パスコードをスマートフォンやブラウザに入力したり、指紋や顔のスキャンなどの生体認証情報を提供したりすることがよく行われます。 適切に設計された MFA 方法は、組織のセキュリティ エコシステムにおいて引き続き重要な役割を果たします。また、MFA は、HIPAA、PCI DSS (Payment Card Industry Data Security Standards)、CISA (Cybersecurity and Infrastructure Security Agency)、GDPR、EU の Payment Services Directive 2 (PSD2) など、多くのグローバル規制に準拠する必要があります。 ただし、MFA 制御はユーザー間で大きな摩擦を生じさせ、顧客の不満を招き、ビジネス収益に悪影響を及ぼします。 さらに、 MFAはもはや詐欺を阻止する特効薬ではありません。犯罪者はさまざまなサイバー攻撃を使ってMFAの防御を日常的に回避し、データやアカウントにアクセスしているからです。
- ロールベースのアクセス制御 (RBAC)。 RBAC は、組織内の役割と責任に基づいて、承認されたユーザーへのシステム アクセスを制限する、広く使用されているアクセス制御モデルです。 RBAC システムでは、ユーザーに役割または職務が割り当てられ、それぞれに、ユーザーがシステム内で実行できるアクションを決定する一連の権限とアクセス権が関連付けられます。
ネットワーク セキュリティ
ネットワーク セキュリティ対策を実装すると、サイバー攻撃、データ侵害、不正アクセスなどのさまざまな脅威から保護され、ネットワーク インフラストラクチャとデジタル資産を保護することができます。
ネットワーク セキュリティ対策には次のものが含まれます。
ファイアウォール。 ファイアウォールは、組織がデジタル リソースを保護し、データのプライバシーを維持し、マルウェア、ハッキングの試み、サービス拒否攻撃、不正アクセスなどのさまざまなサイバー脅威から防御するのに役立つ、サイバーセキュリティの重要なコンポーネントです。 これらは通常、組織の内部ネットワークとインターネットの間などの境界ポイントに展開され、確立されたセキュリティ ルールまたはポリシーに従って、デバイスまたはネットワークに出入りするトラフィックを制御します。 ただし、ファイアウォールは通常、ユーザーがインターネットを通過するときに送信トラフィックを検査しますが、Web アプリや API への受信トラフィックを適切に保護するためのプロキシ機能とパフォーマンス機能が不足しています。 ファイアウォールには、次のような複数の種類があります。
- ホストベースのファイアウォールは、コンピュータ、サーバー、モバイル デバイスなどの個々のデバイス レベルで動作します。 不正なネットワーク接続を確立しようとするマルウェアや悪意のあるアプリケーションなどの脅威から保護します。 また、エンタープライズ環境では、エンドポイントのセキュリティ体制を強化し、ネットワーク レベルの防御を回避する可能性のある脅威から保護するために使用されます。
- ネットワーク ファイアウォールは、OSI モデルの下位層、通常はレイヤー 3 (ネットワーク) とレイヤー 4 (トランスポート) で動作します。 これらは、トラフィックをフィルタリングし、IP アドレス、ポート番号、トランスポート プロトコル (TCP、UDP など) に基づいて決定を下す役割を担います。 異なるネットワーク ゾーン間のトラフィック フローを制御し、広範なネットワーク セキュリティ ポリシーを適用し、さまざまなネットワーク ベースの脅威から保護します。
- 次世代ファイアウォール (NGFW)は、従来のステートフル ネットワーク ファイアウォールの機能をさらに強化した進化型です。 NGFW はディープ パケット インスペクションを実行し、アプリケーション層データやユーザー コンテキストなど、ネットワーク パケットの内容を詳細なレベルで分析します。 トラフィックが非標準ポート上にある場合でも、使用されている特定のアプリケーションまたはサービスに基づいてネットワーク トラフィックを識別および分類できます。 これにより、どのアプリケーションを許可またはブロックするかをきめ細かく制御できるようになります。 NGFW は、ネットワーク トラフィックを特定のユーザーまたはユーザー グループに結び付けることもできます。これは、ユーザー ベースのアクセス制御が実施されている環境で特に役立ちます。
- Web アプリケーション ファイアウォール (WAF)は、Web アプリケーションに送信される悪意のある HTTP/S トラフィックをフィルタリング、監視、ブロックすることでレイヤー 7 Web アプリケーションを保護し、不正なデータがアプリケーションから送信されるのを防ぎます。これは、悪意のあるトラフィックと安全なトラフィックを判別するのに役立つ一連のポリシーに準拠することで実現されます。機械学習の進歩により、一部の WAF では、脅威の状況が変化するにつれてポリシーを自動的に更新できます。 WAF は、 SQL インジェクション、クロスサイト スクリプティング (XSS) 、サーバー側リクエスト フォージェリ (SSRF) など、Web アプリケーションを標的とする脆弱性や脅威に対処するために特別に調整されています。 次世代ファイアウォール (NGFW) と Web アプリケーション ファイアウォール (WAF) の重要な違いについて詳しくは、 「WAF vs. NGFW: どのテクノロジーが必要ですか?
- Web アプリケーションおよび API 保護 (WAAP) ソリューションは、さらに包括的な保護を提供し、WAF、 API セキュリティ、L3-L7 DDoS 軽減、ボット防御などの統合保護により、最新のアプリ攻撃対象領域全体を防御し、脆弱性の悪用、構成ミス、認証/承認への攻撃、アカウント乗っ取り (ATO) や詐欺につながる自動化された脅威から保護します。 分散型 WAAP プラットフォームを使用すると、ホストされている場所に関係なく、一貫したポリシーを簡単に導入し、アプリと API の資産全体にわたってセキュリティを拡張し、API ライフサイクルとより広範なエコシステムにセキュリティを統合できます。
侵入検知システム (IDS)は、ネットワーク トラフィックの整合性を分析および評価し、既知の攻撃パターン、異常なアクティビティ、および不正使用を識別するサイバー セキュリティ ツールです。 脅威が検出されると、これらのシステムは組織のセキュリティ専門家に警告を発し、さらなる措置を講じることができます。 侵入防止システム (IPS) の利点により、効率的なシグネチャなどによりリアルタイムで検出および適用できる IDS の人気が低下していることに注意することが重要です。 IDS ツールには次の 2 種類があります。
- ネットワークベースの IDS (NIDS) は、ネットワーク トラフィックを監視して、不正なアクティビティや悪意のあるアクティビティの兆候を検出します。 NIDS ツールは、ネットワークを通過するデータ パケットをリアルタイムで分析し、セキュリティの脅威を示す可能性のある異常やパターンを検出します。
- ホストベースの IDS (HIDS)は、サーバー、ワークステーション、エンドポイント デバイスなどの単一のホストで発生するアクティビティとイベントを監視および分析します。 HIDS は、疑わしいアクティビティや悪意のある可能性のあるアクティビティを検出すると、アラートや通知を生成し、フォレンジック目的でログとデータを維持し、セキュリティ チームがインシデントを調査できるようにします。
仮想プライベート ネットワーク (VPN) は、多くの場合地理的に異なる場所にあるユーザーのリモート デバイスと企業インフラストラクチャの間に、安全で暗号化された接続を確立します。 ユーザーが VPN に接続すると、インターネット トラフィックは暗号化されたトンネルを経由してルーティングされ、潜在的な盗聴者やハッカーから保護され、ユーザーの IP アドレスがマスクされます。 これにより、送信されるデータは復号化キーがなければ読み取れないため、オンラインのプライバシーとセキュリティが強化されます。
VPN は、本質的に企業ネットワークの境界を拡張し、ユーザーがどこからでも企業アプリケーションに安全にアクセスできるようにするため、多くの組織のセキュリティ戦略に不可欠な要素となっています。 パンデミックの間、自宅で働く何百万人ものリモートワーカーがインターネット経由で企業のリソースに安全に接続する必要があったため、VPN は不可欠になりました。 VPNは機密情報の保護、地理的に制限されたコンテンツへのアクセス、オンラインでの匿名性の維持にも一般的に使用されています。
VPN はオンライン活動のセキュリティとプライバシーを強化しますが、セキュリティ上の課題から免れるわけではありません。 通常、ユーザーはリモート エンドポイント デバイスから VPN 接続を開始するため、これらのエンドポイントはアクセス ポイントになると同時に、攻撃者の主なターゲットにもなります。 企業ネットワークへのリモート アクセス接続を許可する前にエンドポイントが保護されていることを確認することは、接続先の通信とインフラストラクチャを保護するために必要です。
VPN がもたらすセキュリティ リスクを軽減するには、ユーザーとデバイスの両方に対する強力な認証制御も必要です。 ユーザーを認証するために強力なパスワードと多要素認証を使用していることを確認し、可能であれば、クライアント証明書とエンドポイント保護を備えた強化された会社提供のデバイスをリモート ワーカーに展開します。
クラウド アクセス セキュリティ ブローカー (CASB) とセキュリティ サービス エッジ (SSE) は、クラウドベースのセキュリティの要素です。 CASB は、企業のクラウド サービス コンシューマーとクラウド サービス プロバイダーの間に配置され、クラウド リソースへのアクセス時に企業のセキュリティ ポリシーを挿入するセキュリティ ポリシー適用ポイントです。 CASB ソリューションは、企業がリスクを軽減し、さまざまなアプリケーションやデバイスにわたって認証や資格情報マッピングなどのポリシーを適用し、機密データの漏洩を防ぎ、規制コンプライアンスを維持できるようにするさまざまなセキュリティ上の利点を提供します。
SSE は、複数のクラウドベースのセキュリティ サービスとワイド エリア ネットワーク (WAN) 機能をクラウド ネイティブ ソリューションに統合するネットワークおよびセキュリティ アーキテクチャです。 SSE は、企業のセキュリティ ポリシーを維持しながら、クラウドから直接包括的なセキュリティとネットワーク サービスを提供するように設計されており、現代のセキュリティ環境の重要なコンポーネントとなっています。
CASB と SSE は、「決して信頼せず、常に検証する」という原則を強調するゼロ トラストフレームワークの重要な要素です。 つまり、場所やネットワーク接続に関係なく、どのユーザー、デバイス、システムもデフォルトで信頼されるべきではないということです。 CASB と SSE は、クラウドベースのリソースに対する追加の可視性、制御、セキュリティ対策を提供することで、ゼロ トラストの原則を強化できます。 CASB および SSE ソリューションは、強力な認証と ID 検証、およびゼロ トラスト原則の重要な要素であるユーザーの役割と権限、デバイスの信頼性、その他のコンテキスト要因に基づくきめ細かいアクセス制御の実施もサポートします。
データ暗号化
データ暗号化は現代のサイバーセキュリティの基本的な要素であり、保存や転送などさまざまな状況で機密情報を保護するために使用されます。 暗号化プロセス中、アルゴリズムは暗号化キーを使用して通常のデータまたは情報 (「プレーンテキスト」) をコードまたは「暗号テキスト」に変換し、不正なアクセスや使用から保護します。 暗号化プロセスを元に戻し、暗号文を平文に戻すには、受信者 (または承認されたユーザー) が対応する復号化キーを持っている必要があります。 これにより、たとえ誰かが暗号化されたデータにアクセスしたとしても、適切な復号化キーがなければデータを読み取ったり理解したりすることができなくなります。
暗号化には主に次の 3 つの形式があります。
- 対称型。暗号化と復号化に同じキーを使用します。 対称暗号化は、大規模または大量のデータの暗号化には高速かつ効率的ですが、配布中にキーが侵害されるとシステム全体のセキュリティが侵害される可能性があるため、安全なキー配布が必要です。
- 非対称。暗号化と復号化にキーのペアを使用します。 暗号化には公開鍵が使用され、復号化には秘密に保持する必要がある別の秘密鍵が必要です。 非対称暗号化は高いレベルのセキュリティを提供し、安全な通信と認証を容易にしますが、計算負荷が高くなります。 通信チャネルの保護、デジタル署名の認証、安全な接続の確立によく使用されます。 SSL/TLS暗号化は、安全な Web ブラウジングのためのセキュリティ フレームワークであり、非対称暗号化を使用します。 TLS プロトコルの最新バージョンは TLS 1.3 で、Perfect Forward Security (PFS) と呼ばれる重要な新しいセキュリティ機能が含まれています。 PFS プロトコルで使用されるキー交換メカニズムは、セッションごとに動的に生成され、そのセッションでのみ使用されます。 たとえ攻撃者が現在の通信の暗号化に使用されている秘密鍵にアクセスできたとしても、PFS により、過去または将来の通信を復号化できないことが保証されます。 TLS 1.3と PFS は暗号化の回復力を向上させますが、中間者攻撃のリスクを完全に軽減するものではありません。 特にセキュリティ エコシステム内のツールが TLS プロトコルと暗号スイートに対してさまざまなレベルのサポートを提供している場合、企業はエンドツーエンドの復号化、プライバシー、およびリスクのバランスを取るのに苦労することがよくあります。 さらに、多くのセキュリティ制御は大規模な復号化を実行するように設計されていません。 動的インターセプト、サービス チェーン、ポリシー ベースのトラフィック ステアリングをサポートする SSL/TLS 復号化/暗号化専用のソリューションを活用することで、可視性とセキュリティをパフォーマンスやユーザーのプライバシーとバランスさせることができます。
- ハッシュ化では、データをハッシュ、メッセージ ダイジェスト、またはチェックサムと呼ばれる固定長コードに変換します。通常は 16 進数または文字列です。 ハッシュはアルゴリズムを使用して作成され、通常は単方向関数として設計されているため、プロセスを逆にして元のデータを返すことは不可能です。 ハッシュには多くのサイバーセキュリティ機能がありますが、一般的には、送信中にメッセージが改ざんされていないことを確認することで、2 者間の安全な通信を確保するために使用されます。
パッチ管理
パッチ管理は、コンピュータ システム、アプリケーション、ネットワークのセキュリティと整合性を確保する上で重要な役割を果たします。 明確な手順とスケジュールを備えたポリシーを策定することで、組織は脆弱性を識別して更新を迅速に適用し、攻撃対象領域を減らし、サイバー犯罪者による悪用リスクを最小限に抑えることができます。 公開される共通脆弱性識別子 (CVE) の数は増加しており、 2025 年には通常 1 週間で 500 件の新しい CVE が公開されるペースに達すると予想されているため、これはますます重要になっています。
効果的なパッチ管理は継続的なプロセスであり、次の戦略が含まれます。
- パッチのテストと展開の手順を概説したパッチ管理ポリシーを開発し、実施します。
- 脆弱性のリスクと運用への潜在的な影響を考慮した展開スケジュールを作成します。
- パッチ管理ツールと自動化を活用して、展開プロセスを合理化し、手動による介入を減らします。 自動化により、パッチが一貫して迅速に適用されるようになります。
- システムとネットワークの継続的な監視を実装して、新しい脆弱性を検出し、パッチが適用されていないシステムを特定します。 リモート デバイスやモバイル デバイスを含むすべてのシステムが最新の状態に保たれていることを確認します。
インシデント対応と復旧
インシデント対応および復旧計画の策定と維持は、組織がサイバー攻撃や侵害に備え、対応し、復旧するのに役立つサイバーセキュリティ戦略の重要な要素です。 この戦略には次の要素を含める必要があります。
- インシデント対応計画を策定します。 これは、潜在的なサイバーセキュリティ インシデントを特定して対応するための構造化されたプロアクティブなアプローチを提供することで、セキュリティ侵害を軽減する上で重要な役割を果たすことができます。 これには、関係者を特定し、インシデントの報告とエスカレーションのための明確な指揮系統で役割と責任を決定することが含まれます。 ネットワークとシステムを監視して疑わしいアクティビティや侵害の兆候を検出する手順を開発し、侵害を抑制して軽減するための詳細な段階的な対策を実施します。 インシデント対応計画を定期的にテストして、弱点を特定し、対応を改善します。
- 事業継続計画と災害復旧(BCDR) 戦略を策定します。 BCDR 計画は、セキュリティ侵害などの混乱が発生した場合でも、重要な業務運営の継続を確保するのに役立ちます。 BCDR 計画の重要な要素は、データ侵害やデータ破損が発生した場合にデータを以前のクリーンな状態に復元できるようにするための定期的なデータ バックアップです。 すべての BCDR 計画は、その有効性を確認し、組織が弱点を特定して対応戦略を改善できるようにするために、定期的に訓練や演習を通じてテストする必要があります。
- 脆弱性の悪用を軽減するための重要な一時しのぎとして機能するWeb アプリケーション ファイアウォールを導入します。
サイバーセキュリティの新たなトレンド
サイバーセキュリティは進化を続け、新たな脅威に適応し、新たな課題に対処し続けています。 サイバーセキュリティの新たなトレンドは、脅威の状況の変化だけでなく、テクノロジーの大きな進歩も反映しています。 これらの傾向には以下が含まれます。
- サイバーセキュリティにおける人工知能と機械学習。 今日の企業は、従来のアプリケーション アーキテクチャと最新のアプリケーション アーキテクチャ、複数のクラウド、オンプレミス データ センター、エッジ サイト、無数のエンドポイント デバイスにまたがる、急速に拡大する攻撃対象領域を保護するという課題に直面しています。 組織は、分散コンピューティング環境全体でエンタープライズ サイバー セキュリティを拡大し、より適応性と応答性に優れたセキュリティ対策を実現するために、AI と ML を活用する傾向が高まっています。 AI と ML は、サイバーセキュリティ ソリューションで脅威の検出を強化し、インシデント対応を自動化し、膨大なデータセットを分析してサイバー脅威を示すパターンや異常を特定するほか、クローズドループの洞察と修復による自動緩和策を実施するために採用されています。 さらに、 AI と ML はサイバー犯罪者によって、よりリアルなフィッシング攻撃やディープフェイク コンテンツを作成するためにも使用されており、サイバーセキュリティ防御者にとって新たな課題となっています。
- モノのインターネット (IoT) セキュリティ。 明日の天気予報をチェックするスマート サーモスタットや、食品の在庫管理や注文を自動的に行う冷蔵庫などのインテリジェントなネットワーク デバイスは、多くの利点をもたらしますが、サイバー セキュリティの脅威も数多くもたらします。 多くの IoT デバイスには強力なセキュリティ機能が欠けており、デフォルトのユーザー名とパスワードがほとんど変更されないため、データの盗難やプライバシー侵害などの悪意のある目的でデバイスを制御できる攻撃者の格好の標的となります。 侵害された IoT デバイスはボットネットに組み込まれ、分散型サービス拒否 (DDoS) 攻撃を開始するために使用される可能性もあります。 これらの脅威を軽減するために、IoT デバイスを採用する組織は、接続されたデバイスが悪意のある人物によって制御されるのを防ぐための包括的な IoT セキュリティ ポリシーとプラクティスを確立する必要があります。
- クラウドセキュリティ。 組織が使用するクラウド サービスとプロバイダーが増えるにつれて、リスクの対象範囲が拡大し、セキュリティの脅威もますます高度化します。 従来の境界ベースのセキュリティ アプローチでは、分散型および分散型アーキテクチャを保護するにはもはや不十分です。 ハイブリッド クラウド セキュリティとマルチクラウド セキュリティは、ホストされている場所に関係なく、組織の環境内のすべてのアプリ、API、ワークロードを保護するための一貫性のある包括的なリスク管理を提供するモデルです。 ハイブリッドおよびマルチクラウド セキュリティは、各クラウド プロバイダーのネイティブ ツールセットおよび機能と統合された複数のクラウド サービスにわたって一貫したセキュリティ制御とポリシーを展開することで、組織がより強力なセキュリティ体制を実現するのに役立ちます。 複数のセキュリティ層を使用することで、停止や中断に対する回復力を向上させる多層防御アプローチが提供され、アプリや API の進化に合わせて俊敏性も向上します。
- ブロックチェーン技術とサイバーセキュリティ。 特定のブロックチェーン技術は、分散型 ID 管理や権限のある当事者間の安全なデータ共有など、サイバーセキュリティの強化に適用できます。 さらに、ブロックチェーンの不変の台帳は、ログ、トランザクション、その他の重要なセキュリティ記録の整合性を検証するための、透明性があり改ざん防止の監査証跡として機能します。 しかし、ブロックチェーン技術はサイバー犯罪の影響を受けないわけではありません。 ブロックチェーン システムのセキュリティは、特定のブロックチェーンの設計、コンセンサス メカニズム、ユーザーと開発者の警戒心など、さまざまな要素に依存します。 暗号通貨は、クレジットカード番号や認証情報と同じくらい簡単にコンピューターから盗まれる可能性があり、 NFT マーケットプレイスなどのブロックチェーン ベースのプラットフォームは、ボットや自動攻撃によって頻繁に侵入されます。 さらに、暗号通貨マイニングの人気により、攻撃者がサーバーを標的にして乗っ取り、暗号通貨マイニングを実行するように設計されたソフトウェアをインストールする、クリプトジャッキングというサイバー犯罪が発生しています。 十分なコンピューティング リソースがあれば、システム リソースをキャプチャして暗号通貨のマイニングを強制することは、犯罪者にとって非常に利益になる可能性があります。
コンプライアンスとトレーニング
多数のコンプライアンス要件と規制により、組織や政府機関が機密データを保護し、サイバー脅威を軽減するために遵守しなければならないサイバーセキュリティ標準が確立されています。 さらに、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、 国土安全保障省は、サイバーセキュリティ情報の国家拠点として機能し、24時間365日体制で状況認識、分析、インシデント対応センターを運営しています。 CISA は、民間企業、州政府、地方政府、および複数の連邦機関がサイバーセキュリティ インシデントに対応する際に果たす役割を規定する国家サイバー インシデント対応計画を提供します。 CISA は、基本的なサイバーセキュリティの認識を促進し、サイバーインシデントが発生した場合に組織が効果的な対応を準備するのに役立つベストプラクティスと、そもそもインシデントが発生しないようにするための戦略を提唱するインシデント対応トレーニングも提供しています。 主なコンプライアンス要件と規制は次のとおりです。
- 一般データ保護規則(GDPR)は、EU で発生した個人データを取り扱う企業のプライバシー保護と義務を規定しています。 GDPR は、データ処理、セキュリティ、国境を越えたデータ転送に関する厳格なルールを定めており、違反した場合は重い罰則が科せられます。 EU で発生した個人データまたは EU 居住者のデータを処理するすべての企業は、その企業が EU で事業を展開しているかどうかに関係なく、GDPR の対象となります。
- カリフォルニア州消費者プライバシー法 (CCPA) は、カリフォルニア州の消費者の機密性の高い個人情報を保護するために設計された政府の枠組みです。 CCPA は、企業が収集する個人情報、その情報の使用方法と共有方法を知る権利、収集した個人情報を削除する権利 (一部例外あり)、個人情報の販売または共有をオプトアウトする権利など、カリフォルニア州民のデータプライバシー権を保護します。
- ペイメントカード業界データセキュリティ標準 (PCI DSS) は、カード所有者データの管理を強化してペイメントカード詐欺を減らすことを目的とした情報セキュリティ標準です。 PCI DSS は、カード所有者のデータを保管、処理、送信する際に販売者が満たす必要のある最低限のセキュリティ要件を規定しています。 要件には、オンライン商取引中に消費者、企業、カード発行会社を保護するために、安全でセキュリティの高いオンライン取引を保証するための機能強化が含まれています。
- 医療保険の携行性と責任に関する法律 (HIPAA) は、米国における患者の医療情報のプライバシーとセキュリティを保護し、医療保険の携行性を保証する連邦法です。 HIPAA のセキュリティ ルールは、電子形式で保存または転送される特定の健康情報を保護するための国家レベルのセキュリティ標準を規定します。 また、個人の電子的に保護された健康情報を保護するために組織が導入しなければならない技術的および非技術的な保護手段についても説明します。
- 連邦リスクおよび承認管理プログラム (FedRAMP)は、連邦政府全体で安全なクラウド サービスの導入を促進する政府全体のプログラムです。 FedRAMP は、クラウド テクノロジーと連邦政府機関のセキュリティとリスク評価に対する標準化されたアプローチを提供することで、セキュリティ認可の透明性の高い標準とプロセスを作成し、政府機関が政府全体でセキュリティ認可を活用できるようにすることで、連邦政府がクラウド コンピューティングの導入を加速できるようにします。
トレーニングと認定資格
サイバー脅威はますます巧妙化しており、進化する脅威の状況に対応し、必要な専門スキルを習得するために、継続的なセキュリティ トレーニングと認定資格の必要性が浮き彫りになっています。 実際、 IT セキュリティ専門家は全体的に不足しており、多くの学術機関やトレーニング プログラムでは需要に応えるのに苦労しています。 サイバーセキュリティは、さまざまな領域を網羅し、好奇心旺盛な姿勢を必要とする複雑で学際的な分野であり、これらすべての分野に精通した専門家を見つけるのは難しい場合があります。
おそらく最も評価の高いサイバーセキュリティ認定資格は、国際情報システムセキュリティ認定コンソーシアム(ISC)²が授与するCertified Information Systems Security Professional (CISSP)です。 CISSP 認定は、情報セキュリティ専門家の世界的に認められたベンチマークであり、通常、少なくとも 5 年間の累積的な業務経験と厳格な試験の合格が必要です。
サイバーセキュリティのトレーニングと認定に関するもう 1 つの主要な組織はEC-Councilです。この組織は、 Certified Ethical Hackerの認定を含む、専門的なセキュリティ職種向けの幅広いコースとトレーニングを提供しています。 このプログラムは、悪意のあるハッカーの技術を使用してコンピュータ システム、ネットワーク、アプリケーションのセキュリティをテストする方法を専門に教えています。 サイバー犯罪者が脆弱性を悪用する前に脆弱性を特定することで、倫理的なハッカーは機密情報や重要なインフラストラクチャをサイバー攻撃から保護するのに役立ちます。
Computing Technology Industry Association (CompTIA)は、サイバーセキュリティのトレーニングと認定を行うもう 1 つの主要な組織です。 CompTIA のSecurity+は、コア セキュリティ機能を実行するために必要な基本スキルを検証し、合格者が IT セキュリティのキャリアを追求できるようにするグローバル認定資格です。
F5 がどのように役立つか
サイバーセキュリティの脅威を認識し、それを軽減するためのベストプラクティスを理解することは、組織の機密情報、重要な資産、インフラストラクチャを保護するために不可欠です。 この知識があれば、これらの脅威や攻撃方法から保護するための積極的な措置を講じることができ、組織が計画外の出来事に迅速かつ効果的に対応できる効果的なリスク管理およびインシデント対応計画を導入することができます。 これにより、サイバーセキュリティ インシデントの影響を大幅に最小限に抑え、回復プロセスをスピードアップできます。
F5 は、アプリ、API、およびそれらが駆動するデジタル サービスに強力な保護を提供する包括的なサイバーセキュリティ製品スイートを提供します。 これらのソリューション(WAF、API セキュリティ、ボット防御、DDoS 緩和など)は、アーキテクチャ、クラウド、エコシステム統合全体でアプリと API を保護し、リスクと運用の複雑さを軽減しながら、デジタル変革を加速し、アプリ セキュリティの総コストを削減します。 当社のセキュリティ ソリューションは、レガシー アプリや最新アプリ、データ センター、クラウド、エッジ、現在のアーキテクチャ、そして今後何年にもわたって組織をサポートするアーキテクチャなど、あらゆる場面で機能します。
インフォグラフィック
ボット、自動化、詐欺: サイバーセキュリティの融合 ›
インフォグラフィック
OWASP トップ 10: 新たなリスクの波 ›
