はじめに
情報セキュリティの分野では、専門用語や略語が頻繁に登場します。これらの用語を正しく理解することは、脅威や対策を知る上で欠かせません。本記事では、IPAの資料でも触れられる主要なセキュリティ用語を解説し、その役割や注意点を紹介します。
CSIRT(Computer Security Incident Response Team)
CSIRTは「コンピュータセキュリティインシデント対応チーム」の略称で、組織内外のサイバー攻撃や情報漏えいなどのインシデントに対応する専門チームです。インシデントの検知、分析、封じ込め、復旧、教訓化までを担当し、緊急連絡窓口や外部機関との調整役も担います。IPAは、CSIRTを構築してインシデント対応体制を整備することが重要だと強調しており、各脅威への対策としてCSIRTの整備を推奨しています。
IoT(Internet of Things)
IoTは「モノのインターネット」と訳され、センサーや家電製品、産業用機器など物理的なデバイスがインターネットに接続される仕組みを指します。IoT機器は利便性を向上させる一方で、脆弱なセキュリティ設定やパッチ適用の遅れからDDoS攻撃の踏み台にされることがあります。デフォルトパスワードを変更し、ファームウェアを最新状態に保つことが基本的な防御策です。
VPN(Virtual Private Network)
VPNはインターネット上に仮想的な専用線を構築し、暗号化通信を行う技術です。リモートワーク環境では必須の仕組みですが、脆弱性や認証情報の漏えいにより不正侵入の糸口となる場合があります。IPAは、VPN利用時に最新のパッチを適用し、多要素認証を有効にすることを強く推奨しています。
APT(Advanced Persistent Threat)
APTは、高度かつ持続的な標的型攻撃を意味し、特定の組織や国家機関を狙って長期間潜伏しながら情報を盗み出します。攻撃者はゼロデイ脆弱性やスピアフィッシングなど複数の手法を組み合わせ、巧妙に検知を避けます。APT対策には多層防御やネットワーク分割、エンドポイントの監視が必要です。
ゼロデイ脆弱性とNデイ攻撃
ゼロデイ脆弱性とは、製品やソフトウェアの開発者が対策を公表する前に発見された未知の脆弱性を指し、それを悪用する攻撃をゼロデイ攻撃と呼びます。IPAは、Nデイ攻撃(脆弱性情報が公開された後にパッチ適用が遅れたシステムを攻撃すること)も深刻な脅威であると強調しています。脆弱性情報の収集と迅速な更新が重要です。
DMARC/SPF/DKIM
DMARC(Domain-based Message Authentication, Reporting and Conformance)は、送信ドメイン認証技術であるSPFやDKIMと連携し、なりすましメールを検出・拒否する仕組みです。組織がDMARCポリシーを設定し、「reject」を有効にすることで、不正なメールを受信側が拒否できるようになります。メールセキュリティを強化するためには、SPF・DKIMの整備とDMARCポリシーの厳格化が不可欠です。
DDoS(Distributed Denial of Service)
DDoSは多数の機器から大量の通信を送り付け、サーバやネットワークのサービスを妨害する攻撃です。ボットネットに感染したIoT機器やパソコンが攻撃に利用されます。最近では、ストレステストツールを提供する「DDoS-as-a-Service」が登場し、低コストで攻撃が行えるようになっています。CDNやWAF、冗長化構成といった防御策と、ISPや警察との連携が必要です。
BEC(Business Email Compromise)
BECは、ビジネスメール詐欺とも呼ばれ、企業の経理担当者や取引先を狙って偽の請求や支払い指示を送り、金銭をだまし取る詐欺です。攻撃者はメールアカウントを乗っ取り、経営者や取引先になりすまして信頼関係を悪用します。多段階の承認や電話確認、メール認証技術の導入が有効な対策です。
ノーウェアランサムと多重脅迫
ノーウェアランサムは、データを暗号化せずに窃取した情報の公開をちらつかせて身代金を要求する攻撃で、暗号化型ランサム攻撃に比べ検知が難しいとされています。IPAは、二重・三重の脅迫(多重脅迫)としてデータ公開やDDoS攻撃を組み合わせる手口が増えていると報告しています。バックアップや情報公開への対策を整備することが重要です。
ゼロトラスト
ゼロトラストとは、「何も信頼しない」を前提にネットワーク内外の全てのアクセスを検証・監視するセキュリティモデルです。リモートワーク環境の普及に伴い、従来の境界型防御では不十分となり、ユーザーや端末がどこからアクセスしても都度認証・認可を行うゼロトラストが注目されています。IPAは、VPNの設定不備や認証情報の漏えいが攻撃の糸口となるケースを挙げ、ゼロトラスト型のアクセス制御を採用することを推奨しています。
SBOM(Software Bill of Materials)
SBOMは、ソフトウェアを構成する部品(ライブラリやモジュール)の一覧を記載した「ソフトウェア部品表」です。サプライチェーン攻撃が増加する中で、使用しているソフトウェアの構成要素を把握し、脆弱性管理を行うための重要な情報となります。IPAは、委託先や取引先の選定時にSBOMの提供を求め、脆弱性対応の責任範囲を明確にすることを推奨しています。
多要素認証(MFA)
多要素認証は、IDとパスワードに加えて追加の要素で本人確認を行う仕組みです。「知識要素」(パスワードなど)、「所持要素」(スマートフォンアプリやハードウェアトークン)、「生体要素」(指紋や顔認証)のうち二つ以上を組み合わせて認証することで、不正ログインのハードルを大幅に高めます。IPAの資料では、VPNやクラウドサービスの利用時に多要素認証を有効化することが強く推奨されています。ハードウェアトークンやFIDO2対応セキュリティキーはフィッシング耐性が高く、SMSを使ったワンタイムパスコードより安全とされます。組織は業務フローに合わせたMFA導入を検討し、リスクに応じて柔軟に適用範囲を広げる必要があります。
SOCとSIEM
SOC(Security Operations Center)は、組織のネットワークやシステムを24時間監視し、異常な活動を検知・分析する専門組織です。SOCでは、ファイアウォールやIDS/IPS、エンドポイント保護から収集したログを分析し、サイバー攻撃や不正アクセスの兆候を発見します。SIEM(Security Information and Event Management)は、複数のログを統合して相関分析を行うプラットフォームであり、異常パターンを迅速に検知できるようにします。CSIRTやSOCは連携し、インシデント対応の指揮を取ります。IPAの解説書でもインシデント対応の重要性が述べられており、CSIRTやSOCの整備は組織全体のセキュリティレベル向上につながります。
フィッシングのバリエーション
フィッシングはメールに限らず、SMSや音声通話、QRコードなどさまざまな媒体で行われます。SMSを悪用した「スミッシング」は宅配業者や金融機関を装った偽メッセージで偽サイトに誘導します。音声通話による「ビッシング」は、自動音声やオペレーターになりすまして個人情報や認証コードを聞き出す手法です。QRコードを用いる「クイッシング」は、正規のコードに見せかけて悪意のあるサイトに誘導します。IPAの個人向け解説では、こうした多様なフィッシング手口への注意喚起と、リンクやファイルを不用意に開かないこと、公式アプリやURLをブックマークして利用することが推奨されています。
RaaS(Ransomware as a Service)
RaaSはランサムウェアのサービス化を指し、技術力のない攻撃者でも簡単に攻撃を実行できる環境を提供します。開発者は暗号化ツールや運営プラットフォームを提供し、収益の一部を受け取るビジネスモデルとなっています。IPAは、データを暗号化せずに情報の公開のみで脅迫する「ノーウェアランサム」や、データ漏えいとDDoS攻撃を組み合わせた多重脅迫が増加していると警告しています。組織は事業継続のためのバックアップと早期検出体制を整備し、侵入経路となる脆弱性の修正やリモートアクセスの監視を徹底する必要があります。
データ損失防止(DLP)
DLPはData Loss Preventionの略で、機密情報が外部に流出するのを防ぐ技術や運用の総称です。メールやクラウドストレージからの情報の持ち出しを監視・制御し、PCI DSSや個人情報保護法などの規制遵守を支援します。IPAは人的ミスによる情報漏えいの対策として、誤送信を検知するメールフィルタや、クラウド上の機密データアクセスを制限する機能を導入することを推奨しています。DLPシステムは機械学習によりユーザー行動を分析し、通常とは異なる情報の持ち出しをリアルタイムでブロックするものも登場しており、内部不正や人的ミスの防止に有効です。
OAuthとOpenID Connect
OAuthは、ユーザーが複数のWebサービス間で安全に認可情報を共有するためのプロトコルです。ソーシャルログインなどでよく利用され、ユーザーはパスワードをサービスに渡さずにアクセス権を付与できます。OpenID ConnectはOAuthを拡張し、ユーザー認証機能を追加したプロトコルで、シングルサインオンに利用されます。適切に実装すれば利便性と安全性を両立できますが、設定不備やトークンの盗難による認可不正が発生することがあり、定期的なレビューとテストが必要です。企業は認証・認可プロトコルを理解し、ライブラリやフレームワークの更新を怠らないよう注意します。
おわりに
セキュリティ用語を理解することは、脅威の実態や対策を正しく把握する第一歩です。本記事で紹介したCSIRT、IoT、VPN、APT、ゼロデイ脆弱性、DMARC/SPF/DKIM、DDoS、BEC、ノーウェアランサムといった用語は、IPAの解説書に登場する重要な概念です。日頃から用語の意味や仕組みを学び、最新情報を追いかけることで、適切な対策を選択できるようにしましょう。
