スマートフォンなど電子媒体の支給や、リモートワークが当たり前に導入される昨今。デジタル技術が発展し、電子媒体を使った仕事や日常が身近な存在となりました。
そうした情勢の中、徐々に増え始めてきたものがサイバー攻撃による被害です。組織や個人をサイバー攻撃の脅威から守るためのサイバーセキュリティが、より重要視されるようになっています。
本記事では、サイバーセキュリティの概要、具体的なサイバー攻撃の種類やセキュリティ対策などについて、わかりやすく解説していきます。

システムエンジニア(SE)、プログラマー、ウェブサイト作成業務、ネットワークエンジニアなどを経験。 現在、フリーマルチライターとして活動中。最近はAI活用方面に没頭中。
サイバーセキュリティとは?
サイバーセキュリティとは、デジタル化された情報やシステムをサイバー攻撃から保護するための対策や技術を指します。
日本におけるサイバー攻撃の被害状況について、警察庁の「令和4年におけるサイバー空間をめぐる脅威の情勢等」によると検挙件数は12,369件でした。また、国立研究開発法人情報通信研究機構(NICT)の観測によれば、サイバー攻撃関連の通信は1日当たり約2,120万件に上りました。
サイバーセキュリティの重要性は、デジタル化が進む現代社会において益々高まっています。企業や組織だけでなく、個人レベルでもサイバーリスクへの対策が不可欠といえるでしょう。
信頼性の高いデジタル環境を構築するためには、組織と個人の双方が継続的にセキュリティ知識を更新し、それぞれの立場で対策を施していく必要があります。
サイバー攻撃の種類
サイバー攻撃は年々増加傾向にあり、その被害は個人情報の流出から大規模なサーバーダウンまで、企業に甚大な損害をもたらすリスクは様々です。特に、コロナ禍以降のリモートワークの普及によりクラウドサービスを狙った攻撃も増加の一途をたどっています。
ここからは主なサイバー攻撃の種類とその影響について解説していきます。
不正アクセス
不正アクセスとは、権限を持たない者が企業のデジタル情報に不正にアクセスすることを指します。例えば、ブルートフォース攻撃(総当たり的にパスワードを試行してログインを試みる)などを行って窃取したデータでログインするような行為も、不正アクセスの一種にあたります。
不正アクセスの影響は深刻で、個人情報の流出や大規模サーバーダウンにより、多額の損失が発生する可能性があります。また、不正アクセス禁止法により、最大3年以下の懲役または100万円以下の罰金が科せられます。
マルウェア感染
マルウェア感染は、悪質なソフトウェアを添付したファイルをメールやダウンロードを通じて送信し、標的の端末やサーバーから情報を抜き取る攻撃を指します。トロイの木馬、コンピューターウイルス、ランサムウェアなどが代表的なマルウェアです。
マルウェア感染の影響には、不正侵入によるデータの窃取や、クレジットカード情報などの個人情報の盗難があります。このような行為は、3年以下の懲役または50万円以下の罰金の対象となります。
コンピュータやネットワークの機能の妨害・混乱
この種の攻撃には、アプリケーションの脆弱性を狙った攻撃やDDoS攻撃などがあります。これらの攻撃はシステムに大きな負荷をかけネットワーク遅延やウェブサイトのアクセス障害を引き起こします。
次の紹介する妨害行為やサイバー攻撃は電子計算機損壊等業務妨害罪に該当し、5年以下の懲役または100万円以下の罰金が科せられる可能性があります。
中間者攻撃
中間者攻撃(Man-in-the-Middle Attack)は、通信経路上に攻撃者が介入し情報を盗聴または改ざんする悪質な手法です。この攻撃は、ユーザーが気づかないうちに行われるため特に危険性が高いといえます。
攻撃者は、公共のWi-Fiなどを利用して、送信者と受信者の間に入り込みます。そして、パスワードやクレジットカード情報などの機密データを傍受します。時には、通信内容を改ざんして、不正なウェブサイトへ誘導することもあります。
DoS攻撃
DoS攻撃(Denial of Service Attack)は、システムやネットワークに大量のリクエストを送り正常なサービス提供を妨害する攻撃手法です。特に危険なのが複数のコンピューターを使用して行われるDDoS攻撃(Distributed DoS)と呼ばれるサイバー攻撃でしょう。
これは、ボットネットと呼ばれる感染コンピューターのネットワークを利用して、大規模な攻撃を仕掛けます。攻撃を受けたサーバーは負荷によりシステム一時的な稼働停止やサービス停止に追い込まれ、甚大な被害を受ける可能性があります。
フィッシング詐欺
フィッシング詐欺は、信頼できる組織を装って個人情報を騙し取る手法です。
攻撃者は銀行やクレジットカード会社などの正規のメールを模倣し、ユーザーを偽のウェブサイトへ誘導します。そこでパスワードやクレジットカード情報などを入力させ、情報を盗み取るサイバー攻撃です。
近年では、特定の個人や組織を狙った「スピアフィッシング」も増加しています。ターゲットの個人情報を事前に収集し、より巧妙な偽装が施されるようになりました。
サイバーセキュリティ基本法とは
サイバーセキュリティ基本法は情報技術の進化に伴い世界規模で深刻化するサイバー攻撃から日本を守るために制定された法律です。2014年に成立し、2015年1月から施行されました。
この法律は、日本のサイバーセキュリティ戦略を強化することを目的としています。
基本法の概要
サイバーセキュリティ基本法は、日本のサイバーセキュリティ政策の基本となる法律です。2014年の成立後、2016年と2018年に改正されており、以下のような規定が定められています:
- 基本理念
- 国および地方公共団体の責務
- 重要社会基盤事業者、サイバー関連事業者、その他の事業者、教育研究機関の責務
- サイバーセキュリティ戦略の策定
- その他サイバーセキュリティに関する施策の基本事項
この法律は、国民一人一人にもサイバーセキュリティの重要性に関心を持ち理解を深めることを求めています。また、必要な注意を払うよう努力することも要請しています。
法律に基づく企業の責任
基本法の概念においては幅広い組織や企業、個人を対象としています。具体的には以下のような組織が含まれます:
- 行政機関
- 国民生活および経済活動の基盤であるインフラ事業者
- インターネットや情報通信技術にかかわる事業者
- 教育研究機関
- 民間事業者
企業が取り組むべき対策については、経済産業省と独立行政法人情報処理推進機構(IPA)が「サイバーセキュリティ経営ガイドライン」を策定しています。
このガイドラインでは、経営者が認識すべき「3原則」と、経営者が情報セキュリティ対策を実施する際に担当幹部に指示すべき「重要10項目」がまとめられています。
2023年3月に、ガイドラインの最新版である「サイバーセキュリティ経営ガイドラインVer3.0」が公開されています。詳しく知りたい方は下記リンクよりぜひ目を通してみてください。
サイバーセキュリティ対策手段
近年のインターネットの発展に伴い中小企業でもサイバー攻撃や不審なアクセスの脅威にさらされるケースが増えています。
被害を受けた場合、数千万円の損害が発生する可能性があり、自社だけでなく取引先の操業も停止してしまうリスクがあります。そのため、中小企業においてもサイバーセキュリティ対策の実施が不可欠となっています。
セキュリティポリシーの策定と周知
セキュリティポリシーの策定には、独立行政法人情報処理推進機構(IPA)が公開している「中小企業の情報セキュリティ対策ガイドライン」が参考になります。このガイドラインでは、アプリケーションやシステムの設計・開発段階からセキュリティを考慮することの重要性が強調されています。
ガイドラインでは、計画段階から一貫した対応を整理することが最初に取り組むべき事項として示されています。また、予算や人件費に限りのある中小企業がセキュリティ対策を効果的に進める事例もわかりやすく記載されています。
セキュリティ対策を担当される方は下記の参照をお勧めします。
適切なセキュリティ対策ツールの導入
セキュリティ対策ツールには主に以下のようなものがあります:
- 企業ネットワークの出入り口を守るサービス(UTM)
- ネットワーク本体を守るサービス(ウイルス対策ソフト)
- ホームページのセキュリティを強化するサービス(SSLへの対応)
これらのツールを適切に導入することで不正なアクセスや情報漏洩を防ぎ、企業の損失を軽減することができます。各ツールの特徴や機能を十分に理解し、環境に最適なものを選択することが重要でしょう。
定期的なセキュリティ対策の見直し
セキュリティ対策は導入して終わりではありません。定期的な見直しが必要です。一般的には2年程度を目安に、以下のような点を確認します:
- セキュリティが正常に機能し、システムが守られているか
- セキュリティ製品によって業務効率が低下していないか
- 新種のサイバー攻撃にも対応できているか
また、大規模なサイバー攻撃の被害が報道されたときなども、自社の対策を見直す良いタイミングといえるでしょう。
セキュリティ製品の導入から長期間が経過しているのに一度も見直していない場合は脆弱性をつかれてしまうケースが多く報告されています。JNSAなどのサイバーセキュリティに関する情報を定期的にチェックし、最新の情報を把握しておくことが大切です。
サイバーセキュリティ支援制度の活用
中小企業や個人の方のように、予算や人的リソースの制約がある場合でもサイバーセキュリティ対策に取り組めるよう様々な支援制度が用意されています。
以下では、主な支援制度を紹介します。
SECURITY ACTION
SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。この制度には二つのレベルがあります:
- 一つ星:情報セキュリティ5か条に取り組むことを宣言
- 二つ星:情報セキュリティ自社診断を実施し、情報セキュリティポリシーを定めて外部に公開することを宣言
SECURITY ACTIONへの参加は、IT導入補助金の申請要件となっています。この制度に参加することで、自社のセキュリティ意識を高めると同時に、補助金獲得のチャンスも広がります。
サイバーセキュリティお助け隊サービス
サイバーセキュリティお助け隊サービスは、IT導入補助金の支援対象を含む予算や人的リソースが限られた企業向けのサービスです。このサービスでは、以下のような内容がワンパッケージで提供されます:
- 相談窓口
- システムの異常監視
- 緊急時の対応支援
- 簡易サイバー保険
このサービスを利用することで、専門知識がなくても包括的なセキュリティ対策を実施することができます。
内閣サイバーセキュリティセンター(NISC)
2015年1月に設立されたNISC(内閣サイバーセキュリティセンター: National center of Incident readiness and Strategy for Cybersecurity)は、日本のサイバーセキュリティ政策の中核を担う内閣官房の組織です。企業だけでなく、個人のためにサイバーセキュリティの対策を紹介しています。
NISCの主な役割は以下の通りです:
- サイバーセキュリティ戦略の策定と推進
- 政府機関のセキュリティ監視と分析
- サイバーセキュリティに関する情報の集約と共有
- 重要インフラのセキュリティ強化支援
- サイバーセキュリティ人材の育成
NISCは国家レベルでのサイバーセキュリティ対策を統括し官民連携を促進し、国際的な協力体制の構築にも貢献しています。
一般向けに「みんなで使おう サイバーセキュリティ」ポータルサイトを運営しており、セキュリティ啓発活動も積極的におこなっています。このサイトでは、年齢層や利用目的に応じた情報を提供し幅広い層のセキュリティ意識向上に貢献しています。
NISC:みんなで使おうサイバーセキュリティ・ポータルサイト
まとめ:制度や仕組みを理解して、より効果的なサイバーセキュリティ対策を!
ここまでサイバー攻撃やセキュリティに関する基本的な情報から、個人や中小企業が直面する課題、支援制度まで幅広く解説しました。
AI開発等の技術の発展に伴い、サイバーセキュリティ対策の実態は複雑化が進んでいます。支援制度は多くありますが、予算や人的リソースの不足、具体的な対応策の検討といった理由から適用は難しく、個人はもちろん各企業のシステム担当者に求められる知識も相応に必要とされる昨今となりました。
当メディアを運営する株式会社Jiteraでは、豊富な開発実績とサイバーセキュリティに精通したコンサルタントが、御社の課題やニーズに合わせた最適なソリューションをご提案いたします。
お困りの際は、ぜひJiteraサポートまでお気軽にご相談ください。支援制度の導入やセキュリティ対策の導入、カスタマイズ、アフターフォローまで、トータルでサポートさせていただきます。