エンタープライズセキュリティ：主要な脅威と防御

現代の世界では、情報は重要なリソースであり、その安全性と正しい使用は、組織と生産の発展とさまざまなリスクのレベルを下げるための主要なタスクの1つです。企業にとって最も重要な緊急の問題は、情報セキュリティの問題です。

この記事では、

• 情報セキュリティとは何ですか？
• 情報セキュリティとサイバーセキュリティの違いは何ですか？
• 組織および企業における情報セキュリティの目的
• 情報セキュリティの種類
• 一般的な情報セキュリティリスク
• 2019年の注目を集めるセキュリティインシデント
• 情報セキュリティ技術

情報セキュリティ（InfoSec）により、組織や企業はデジタル情報とアナログ情報を保護できます。InfoSecは、暗号化、モバイルコンピューティング、ソーシャルメディア、および個人情報、財務情報、企業情報を含むインフラストラクチャとネットワークをカバーしています。一方、サイバーセキュリティは、生データと意味のあるデータの両方を保護しますが、インターネットの脅威からのみ保護します。

組織は、多くの理由で情報セキュリティの問題に大きな注意を払っています。InfoSecの主な目的は、企業に関する情報の機密性、整合性、および可用性を確保することです。InfoSecは多くの分野にまたがっているため、アプリケーションセキュリティ、インフラストラクチャセキュリティ、暗号化、インシデント対応、脆弱性管理、災害復旧など、さまざまな種類のセキュリティの実装が含まれることがよくあります。

情報セキュリティとは何ですか？

InfoSec（Information Security）は、デジタル情報とアナログ情報を保護するために使用されるツールと手法のコレクションです。InfoSecは、インフラストラクチャとネットワークのセキュリティ、監査、テストなど、幅広いIT分野をカバーしています。認証や権限などのツールを使用して、許可されていないユーザーが個人情報にアクセスするのを制限します。これらの対策は、情報の盗難、改ざん、または紛失による危害を防ぐのに役立ちます。

情報セキュリティとサイバーセキュリティの違いは何ですか？

サイバーセキュリティと情報セキュリティはさまざまな目標と領域をカバーしますが、いくつかの共通の機能もあります。情報セキュリティは、暗号化、モバイルコンピューティング、ソーシャルメディアを含む幅広い保護カテゴリです。サーバー障害や自然災害などの人間以外の脅威から情報を保護するために使用される情報セキュリティを扱います。同様に、サイバーセキュリティはインターネットの脅威とデジタルデータのみを対象としています。さらに、サイバーセキュリティは未分類の未分類データを保護しますが、情報セキュリティは提供しません。

組織および企業における情報セキュリティの目的

情報セキュリティ によって保護される3つの主な目的があり、まとめてCIAと呼ばれます。

• – . . - , .
  
  
• – . . , , .
• – , . , , . , - .

情報セキュリティ情報セキュリティを 検討する場合、いくつかの分類があります。これらの分類は、特定の種類の情報、情報を保護するために使用されるツール、および情報を保護する必要がある領域を対象としています。



アプリケーションセキュリティアプリケーション



セキュリティポリシーは、アプリケーションとアプリケーションプログラミングインターフェイス（API）を保護します。これらの戦略を使用して、アプリケーションのバグやその他の脆弱性を防止、検出、および修正できます。セキュリティで保護されていない場合、アプリケーションとAPIの脆弱性がより広範なシステムへのゲートウェイになり、情報が危険にさらされる可能性があります。



インフラストラクチャのセキュリティ



インフラストラクチャセキュリティ戦略は、ネットワーク、サーバー、クライアントデバイス、モバイルデバイス、データセンターなどのインフラストラクチャコンポーネントを保護します。これらと他のインフラストラクチャコンポーネント間の接続が拡大すると、適切な予防措置なしに情報が危険にさらされます。



このリスクは、接続によってシステムの脆弱性が露呈するという事実に起因します。インフラストラクチャの一部に障害が発生したり、侵害されたりすると、依存するすべてのコンポーネントも影響を受けます。したがって、インフラストラクチャを保護する重要な目標は、相互運用性を確保しながら、依存関係を最小限に抑え、コンポーネントを分離することです。



クラウドセキュリティ



クラウドセキュリティは、アプリケーションおよびインフラストラクチャのセキュリティと同様の保護を提供しますが、クラウドまたはクラウドに接続されたコンポーネントと情報に重点を置いています。クラウドセキュリティは、インターネットサービスやパブリッククラウドなどの共有環境に起因する脆弱性に焦点を当てるために、追加の保護とツールを追加します。クラウドリソースとアプリケーションを使用する場合、インフラストラクチャは通常管理されているため、多くの場合、環境を完全に制御できます。つまり、クラウドセキュリティの慣行では、制限された制御を考慮し、請負業者またはベンダーからの可用性と脆弱性を制限するためのアクションを実行する必要があります。







Cryptography



Cryptographyは暗号化を使用して、コンテンツを非表示にすることで情報を保護します。情報が暗号化されている場合、正しい暗号化キーを持っているユーザーのみが利用できます。ユーザーがこのキーを持っていない場合、そのキーに関する情報は利用できません。セキュリティチームは、暗号化を使用して、保存中や送信中を含め、情報の機密性と整合性をその存続期間を通じて保護できます。ただし、ユーザーがデータを復号化すると、盗難、公開、または変更に対して脆弱になります。



セキュリティチームは、暗号化アルゴリズムなどのツールやブロックチェーンなどのテクノロジーを使用して情報を暗号化します。 Advanced Encryption Standard（AES）などの暗号化アルゴリズムは、これらのツールのサポートが増え、ツールを使用するためのオーバーヘッドが少ないため、より一般的です。



インシデント



対応インシデント対応は、脅威または破壊的なイベントを識別、調査、および対応するために使用できる一連の手順とツールです。攻撃、自然災害、システム障害、または人的エラーの結果としてのシステムへの損傷を修復または軽減します。

一般的に使用されるインシデント対応ツールは、インシデント対応計画（IRP）です。 IRPは、インシデント対応の役割と責任を定義します。これらの計画には、セキュリティポリシー、ガイドライン、またはアクションの手順に関する情報も含まれています。



脆弱性管理脆弱性



管理は、アプリケーションまたはシステムに固有のリスクを軽減するための手法です。このプラクティスの背後にある考え方は、問題が開示または悪用される前に、脆弱性を発見して修正することです。コンポーネントまたはシステムの脆弱性が少ないほど、データとリソースの安全性が高まります。

脆弱性管理手法は、問題を見つけるためのテスト、監査、およびスキャンに基づいています。これらのプロセスは、コンポーネントが特定の標準に照らして評価され、脆弱性が可能な限り迅速に発見されるようにするために、多くの場合自動化されています。使用できるもう1つの方法は、脅威の兆候を特定したり、潜在的な脆弱性を検出したりするためにシステムをリアルタイムで検査する脅威スキャンです。



災害からの回復



災害復旧戦略は、予期しないイベントによって引き起こされる損失や損害から組織を保護します。たとえば、身代金、自然災害、孤立した障害点などです。災害復旧戦略は通常、情報を復旧する方法、システムを復旧する方法、および運用を再開する方法を定義します。これらの戦略は、多くの場合、組織が最小限のダウンタイムで運用を維持できるように設計されたビジネス継続性管理（BCM）計画の一部です。

一般的な情報セキュリティリスク

日常の活動では、多くのリスクがシステムと情報のセキュリティに影響を与える可能性があります。以下は、知っておくべきいくつかの一般的なリスクです。



ソーシャルエンジニアリングでは、心理学を使用して、ユーザーをだまして情報を提供したり、攻撃者にアクセスさせたりします。フィッシングソーシャルエンジニアリングの一般的なタイプの1つであり、通常は電子メールで行われます。フィッシング攻撃では、攻撃者は信頼できるまたは正当なソースのふりをして、情報を要求したり、ユーザーにアクションを実行するよう警告したりします。たとえば、メールでは、ユーザーに身元の確認や、含まれている（悪意のある）リンクを介したアカウントへのログインを求めることができます。ユーザーが従うと、攻撃者は資格情報やその他の機密情報にアクセスできるようになります。



高度な永続的な脅威（APT）は、個人またはグループがシステムにアクセスして長期間システムにとどまる脅威です。攻撃者はこれらの攻撃を実行して、時間の経過とともに、または将来の攻撃の基礎として機密情報を収集します。 APT攻撃は、ライバル国、テロ組織、または産業競争相手によって支払われる可能性のある組織化されたグループによって実行されます。



インサイダー情報の脅威組織内の個人によって作成された脆弱性です。これらの脅威は偶発的または故意である可能性があり、システムまたは情報にアクセスするために「正当な」特権を悪用する攻撃者が含まれます。偶発的な脅威が発生した場合、従業員は不注意に情報を共有または開示したり、マルウェアをダウンロードしたりする可能性があります。意図的な脅威では、インサイダーは個人的または専門的な利益のために意図的に情報を損傷、ダウンロード、または盗みます。クリプト



ジャッキングは、クリプトマイニングとも呼ばれ、攻撃者がシステムリソースを悪用してクリプトカレンシーをマイニングする場合です。攻撃者は通常、ユーザーをだましてマルウェアをダウンロードさせるか、悪意のあるスクリプトを有効にしてファイルを開くことでこれを実現します。



分散サービス拒否（DDoS）。 DDoS攻撃は、攻撃者がサーバーまたはリソースを要求で過負荷にしたときに発生します。攻撃者は、これらの攻撃を手動で実行することも、要求ソースの伝播に使用される侵害されたデバイスのネットワークであるボットネットを介して実行することもできます。 DDoS攻撃の目的は、他の攻撃中にユーザーがサービスにアクセスしたり、セキュリティチームの注意をそらしたりするのを防ぐことです。

Ransomwareは、マルウェアを使用してデータを暗号化し、身代金のために保存します。通常、攻撃者は、何らかのアクションを実行するための情報、またはデータの復号化と引き換えに組織からの支払いを必要とします。使用している身代金の種類によっては、暗号化されたデータを復元できない場合があります。このような場合、感染したシステムをクリーンなバックアップに置き換えることによってのみデータを回復できます。



攻撃Man-in-the-middl（MitM）MitM攻撃は、メッセージが安全でないチャネルを介して送信されるときに発生します。これらの攻撃中に、攻撃者はコンテンツの読み取り、データの操作、またはユーザーのリダイレクトを行う要求と応答を傍受します。

MitM攻撃の種類：

• – IP- , .
  
  
• IP- – , .
• – , .

2019

3月、世界最大のアルミニウム生産者であるNorsk Hydroは、ランサムウェアLockerGogaの攻撃により、生産施設の停止を余儀なくされました。同社によれば、この事件による被害は約3,500万〜4,100万ドルでした。さまざまな身代金プログラムの犠牲者の中には、スイスの特殊機器メーカーであるAebi Schmidt、ドイツの懸念であるRheinmetallなども含まれていました。



6月末に、特定の個人に関する情報を傍受するために犯罪者が世界最大の通信会社のネットワークに侵入した大規模なサイバースパイキャンペーンの詳細が発表されました。キャンペーンの主催者は、中国に関連するAPT10グループだったとされています。攻撃者はなんとか約100GBの情報を盗み、Call Detail Records（CDR）を使用して、関心のある人の動きと行動を追跡しました。

情報セキュリティ技術

効果的な情報セキュリティ戦略を作成するには、さまざまなツールとテクノロジーを使用する必要があります。ほとんどの戦略では、次のテクノロジーを組み合わせて使用​​します。





ファイアウォールは、ネットワークまたはアプリケーションに適用できる保護の層です。これらのツールを使用すると、トラフィックをフィルタリングし、トラフィックデータを監視および検出システムに渡すことができます。ファイアウォールは、許可されるトラフィックの速度または量を決定する、確立された許可または拒否のリストとポリシーを使用することがよくあります。



SIEMソリューションインシデントおよびセキュリティイベント管理では、さまざまなシステムから情報を受信して​​相互に関連付けることができます。このデータの集約により、チームは脅威をより効果的に検出し、アラートをより適切に管理し、調査のためのより適切なコンテキストを提供できます。 SIEMソリューションは、システムイベントのログ記録や、イベントとパフォーマンスのレポートにも役立ちます。次に、この情報を使用して、構成を検証または最適化できます。



データ損失防止戦略（DLP）には、データを損失や変更から保護するツールと手法が含まれています。これには、データの分類、データのバックアップ、および組織内外でのデータの共有方法の監視が含まれます。



侵入検知システム（IDS）は、着信トラフィックを監視し、脅威を検出するためのツールです。これらのツールはトラフィックを測定し、疑わしいまたは悪意があると思われるケースについて警告します。



侵入防止システム（IPS）-これらのソリューションは、要求をブロックするか、ユーザーセッションを終了することにより、疑わしいまたは悪意のあるものとして識別されたトラフィックに応答します。 IPソリューションを使用して、特定のセキュリティポリシーに従ってネットワークトラフィックを制御できます。



ユーザー行動分析（UBA）-UBAソリューションは、ユーザーアクションに関する情報を収集し、その行動をベースラインに関連付けます。次に、決定はこのベースラインを新しい動作との比較として使用して、不整合を識別します。次に、ソリューションはこれらの不整合を潜在的な脅威としてマークします。



ブロックチェーンサイバーセキュリティは、不変のトランザクションイベントに依存するテクノロジーです。ブロックチェーンテクノロジーでは、ユーザーの分散ネットワークがトランザクションの信頼性を検証し、整合性を維持します。



サイバーセキュリティソリューションEDRを使用すると、エンドポイントアクティビティを追跡し、疑わしいアクティビティを検出し、脅威に自動的に対応できます。これらのソリューションは、エンドポイントの可視性を向上させるように設計されており、脅威がネットワークに侵入したり、情報が漏れたりするのを防ぐために使用できます。 EDRソリューションは、継続的なエンドポイントデータの収集、検出メカニズム、およびイベントログに基づいています。



クラウドセキュリティポジション管理（CSPM）は、クラウドリソースのセキュリティを評価するために使用できる一連のプラクティスとテクノロジーです。これらのテクノロジーにより、構成をスキャンし、防御をベンチマークと比較して、セキュリティポリシーの一貫した適用を保証できます。多くの場合、CSPMソリューションは、セキュリティ体制を改善するために使用できる推奨事項またはトラブルシューティングガイドラインを提供します。