セキュリティ対策

日常生活や企業活動において欠かせないインターネットですが、不正アクセスやウイルス感染など、さまざまなトラブルリスクも孕んでいます。そのため、脅威に対する手段として「サイバーセキュリティ」が必須となってきます。

本記事では「プロトコルスタックをスクラッチ開発したエンジニアが考えるセキュア通信をコンパクトに実現する方法とは?」と題したセミナーの内容を複数回に分けて紹介し、サイバーセキュリティの現状や組込みデバイスのセキュリティ対策の実情を紹介していきます。

サイバーセキュリティとは?

サイバーセキュリティと聞いたとき、皆さんはどういったものを思い浮かべますか。

総務省のサイトによると、下記のように記されています。

サイバーセキュリティという言葉は、一般的には、情報の機密性、完全性、可用性を確保することと定義されています。
機密性とは、ある情報へのアクセスを認められた人だけが、その情報にアクセスできる状態を確保すること。完全性とは、情報が破壊、改ざん又は消去されていない状態を確保すること。可用性とは、情報へのアクセスを認められた人が、必要時に中断することなく、情報にアクセスできる状態を確保することをいいます。

引用:総務省「国民のためのサイバーセキュリティサイト」

一方、誰でも編集できるフリー百科事典「Wikipedia」における「サイバーセキュリティ」のページでは以下の内容が記載されています。

  • サイバーセキュリティの定義は論者によって異なる
  • 情報セキュリティの一部とみなしサイバー空間において機密性、完全性、可用性の確保を目指すもの
  • デジタル社会のリスクへの対応を指すとするもの
  • 情報セキュリティに変わるバズワード(※バズワード:いかにも専門性がある言葉だけが一人歩きしている状態)
  • 攻撃対象が産業システムにも広がった

出典: フリー百科事典 ウィキペディア(Wikipedia)「サイバーセキュリティ」

「サイバーセキュリティ」という言葉は専門的で説得力があるように聞こえますが、実際は曖昧な定義で広く使われている「バズワード」でもあります。

「セキュリティ対策は必要だと認識しているものの、一体何をやればいいかが分からない」という状況が、セキュリティ対策ありきのプロダクト制作においては足かせになる問題が起きています。

情報セキュリティ10大脅威

セキュリティ対策

「情報セキュリティ10大脅威 2022」

では、そもそも情報セキュリティの脅威にはどんなものがあるのでしょうか。

下記は、IPA 独立行政法人 情報処理推進機構から発表された「情報セキュリティ10大脅威 2022」です。

順位 個人 昨年からの変化 組織 昨年からの変化
1 フィッシングによる個人情報等の詐取 ランサムウェアによる被害
2 ネット上の誹謗・中傷・デマ 標的型攻撃による機密情報の窃取
3 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 サプライチェーンの弱点を悪用した攻撃
4 クレジットカード情報の不正利用 テレワーク等のニューノーマルな働き方を狙った攻撃
5 スマホ決済の不正利用 内部不正による情報漏えい
6 偽警告によるインターネット詐欺 脆弱性対策情報の公開に伴う悪用増加
7 不正アプリによるスマートフォン利用者への被害 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) NEW
8 インターネット上のサービスからの個人情報の窃取 ビジネスメール詐欺による金銭被害
9 インターネットバンキングの不正利用 予期せぬIT基盤の障害に伴う業務停止
10 インターネット上のサービスへの不正ログイン 不注意による情報漏えい等の被害

出典:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2022」(出典元の表を基に弊社にて一部加工)

ランキングから見えること

ランキングから、下記のことが見えてきます。

  • 社会的な情勢の変化に伴う脅威がランキングに入ってきている
  • SNSや開発プラットフォームなどでノウハウを共有できることから、攻撃する敷居が下がってきている
  • 情報技術(IT)にフォーカスしているため、組込みデバイスとの関連性が見えづらい

個人順位2位の「ネット上の誹謗中傷デマ」に着目すると、攻撃者が自分の身元を隠そうとするシチュエーションが想像できます。その際、組込みデバイスはその足跡がつかないように踏み台として利用され、つまりは間接的に攻撃されるということも考えられます。

組込みデバイスとサイバーセキュリティの関連性を見るためには、これらの脅威をあと2~3段階ブレイクダウンして解析する必要があります。

次の記事では、セキュリティ対策について考えていきます。