サイバーセキュリティとは?定義、脅威、その他

サイバーセキュリティは、機密性の高いデジタル情報と重要なシステムをサイバー攻撃から保護します。多くの場合、いくつかの保護が積み重ねられます。 ネットワーク、コンピューター、プログラム、データはすべて、サイバー脅威や悪意のある人物から保護する必要があります。2020年、 連邦捜査局 (FBI)は、インターネット犯罪またはサイバー犯罪に関連する損失が42億ドルをはるかに超えたと報告しています。世界がますますデジタル化し、より多くの情報がインターネットに保存されるようになると、サイバーセキュリティはITよりも重要になっています。 サイバーセキュリティは、バイデン・ハリス政権下での国土安全保障省(DHS)のミッションの 重要な要素 の1つに挙げられており、これは米国政府のすべてのレベルにとって最優先事項となっています。サイバーセキュリティの脅威には、フィッシング詐欺、ランサムウェア、ソーシャルエンジニアリング、マルウェアなどがあります。強力なサイバーセキュリティプロトコルは、データとシステムを侵害や攻撃から安全に保つために、これらの潜在的な問題すべてに対処する必要があります。

サイバーセキュリティとは?

サイバーセキュリティは、 情報テクノロジー(IT)セキュリティとも呼ばれ、デジタルシステムと情報を潜在的な脅威から安全に保つ方法です。 サイバーセキュリティモデルには、多くの場合、複数のドメインが関与する保護の積み重ねるものが含まれています。 サイバー脅威は、組織の内外から発生する可能性があります。そのため、サイバーセキュリティ対策は包括的かつ多面的であるべきです。サイバーセキュリティは、ネットワーク、デバイス、データ、および通信を不正なユーザーによるアクセスから保護する必要があります。IT部門は、機密性とプライバシー、データの完全性、および許可されたデータの可用性を保証するよう努める必要があります。 サイバーセキュリティプロトコルには、次のものが含まれます。

• 重要インフラのセキュリティ: サイバーセキュリティのフレームワークは、公共の安全、国家安全保障、および経済の健全性の問題に必要な重要なコンピューターシステムを保護するために必要です。
• ネットワークセキュリティ: 有線接続と無線 (Wi-Fi) 接続の両方を含むコンピューター ネットワークは、侵入から保護する必要があります。
• クラウドセキュリティ: クラウド内のデータストアは、プライバシーと規制コンプライアンスの基準を保護し、サポートするために暗号化する必要があります。
• Application (アプリケーション) セキュリティ: 設計段階では、クラウドとサイトの両方に保存されているアプリケーション(アプリケーション)にセキュリティを組み込む必要があります。
• 情報セキュリティ: 機密データは、データ保護対策を通じて、不正アクセス、盗難、または漏洩から保護する必要があります。
• エンドユーザー向けの教育: セキュリティ対策の弱点となるのは人であることが多く、ユーザーはセキュリティのベストプラクティスについて教育を受ける必要があります。
• 障害回復手順: 潜在的な攻撃や自然災害に対抗するための方法を導入し、通常の運用の中断を最小限に抑える必要があります。

これらは、サイバーセキュリティテクノロジーの例です。

• ファイアウォール
• ウイルス対策ソフトウェア
• マルウェア対策
• DNSフィルタリング
• E メール security ソリューション
• 暗号化技術

サイバーセキュリティの脅威の種類

今日、さまざまなサイバーセキュリティの脅威があり、それらは常に進化しています。セキュリティ対策が設計されると、犯罪者はそれを回避する方法を見つけます。これらは、注意すべき最も一般的なサイバーセキュリティの脅威の一部です。

• フィッシング: これは 最も一般的な タイプのサイバー攻撃の1つであり、Eメールまたはテキストメッセージを介して行われます。 信頼できる正当な送信元から送信されたように見えるメッセージが、個人のログイン認証情報や機密性の高い個人データを求める受信者に送信されます。 これにより、サイバー犯罪者は金融情報、パスワード、個人識別情報にアクセスして、詐欺や盗難を行うことができます。
• ソーシャルエンジニアリング: これは、サイバー犯罪者がユーザーを騙して機密情報を開示させるために採用する別の戦術です。IT部門では、偽のリンクをクリックしてログイン認証情報や個人データにアクセスしたり、一見評判の良い理由で金銭を募ったりすることがよくあります。
• マルウェア: これは、コンピューターに感染し、損害を与えたり、サイバー犯罪者がデバイスやシステムにアクセスしたりする可能性のあるソフトウェアのフォームです。 ITは、ユーザーが知らないうちにダウンロードした添付ファイルで送信されたり、正当なソフトウェアやアプリケーション(アプリケーション)を装ったりする可能性があります。
• ランサムウェア: 悪意のあるソフトウェアの別の形式であるこれは、コンピューターまたはシステムを破壊し、身代金が支払われるまでファイルまたはシステム全体へのアクセスをブロックします。 ランサムウェアは、ユーザーをファイルやシステムから締め出し、金銭が交換された後にのみアクセスを許可する恐喝の形態です。
• 分散型サービス拒否攻撃(DDOS攻撃: このタイプのサイバー攻撃は、多くの場合、複数のソースからの組織的な攻撃で、ネットワーク、Webサイト、またはサーバーに過負荷をかけ、ITをクラッシュさせようとします。 これにより、事業運営が中断され、クライアントと消費者が不満を募らせ、会社概要 に金銭的なコストがかかる可能性があります。

IT部門は、脅威が必ずしも会社の外部から来るとは限らないことを理解することが重要です。 また、アクセス許可を悪用しようとするインサイダー脅威もあります。ネットワークやシステムに以前にアクセスしたことのある過去の従業員、契約社員、または以前のビジネスパートナーは、潜在的な内部脅威になる可能性があります。

サイバーセキュリティの重要性

テクノロジーの台頭により、私たちの生活の多くがデジタル化されました。パンデミックは、より多くのビジネスと人々をオンラインに駆り立てる役割を果たしました。これに呼応して、 サイバー犯罪も爆発的に増加しています。脅威アクターは、情報を悪用するための新しい進化する方法を常に学習しています。サイバー犯罪者は、ビジネス慣行を妨害したり、金銭や情報を盗んだり、重要なサービスの提供を脅かしたり、詐欺を犯したりしようとします。サイバーセキュリティは、社会保障番号や機密性の高い個人識別データ、財務情報、会社概要 データ、国家機密などの個人情報を侵入者やサイバー犯罪者から保護するために必要です。 多層的な保護を提供する強力なサイバーセキュリティプロトコルは、ビジネスを円滑に運営し、重要なインフラストラクチャを整備し、財務データと個人データを安全に保つのに役立ちます。

サイバーセキュリティのベストプラクティス

サイバーセキュリティのベストプラクティスには、変化し進化するトレンドに対応し、すべての潜在的な懸念事項を対象とした多面的なアプローチを使用することが含まれます。これには、クラウド、ネットワーク、およびルーター、コンピューター、スマートデバイスなどのエンドポイントデバイスが含まれます。セキュリティソリューションは、業界標準であり、規制コンプライアンスを満たす必要があります。すべての人が OWASP Top 10ガイドラインと NISTガイドラインを遵守することを強くお勧めします。 ここでは、サイバーセキュリティのベストプラクティスをいくつか紹介します。

• ファイアウォールを使用します。これにより、悪意のあるトラフィックを防ぎ、不要なアウトバウンド通信を防ぐことができます。
• ユーザーを教育する。疑わしい E メールがすぐに報告されるようにします。 ユーザーには、リンクをクリックしたり、添付ファイルをダウンロードしたりしないように、ソースを確認するように指示する必要があります。ウェブサイトは、ログイン認証情報を入力する前に直接アクセスし、パスワードを保護する必要があります。
• 強力なパスワードまたは多要素認証(MFA)を使用します。パスワードは繰り返してはならず、頻繁に変更する必要があります。2つ以上のアクセス認証情報が必要なシステムは、さらに安全です。
• システムを最新の状態に保ちます。必要に応じてパッチとアップデートをインストールし、最新の脅威耐性を確保します。
• ウイルス対策およびマルウェア検出ソフトウェアを使用します。これらのプログラムは、不正アクセスが許可される前に脅威をブロックし、潜在的な問題を警告するのに役立ちます。
• サイバーセキュリティポリシーを文書化します。包括的な計画を全面的に実施する必要があります。
• すべてをバックアップします。緊急事態や侵害が発生した場合は、データにアクセスする必要があります。

デジタルセキュリティの他の方法には、最小権限またはゼロトラストセキュリティ戦略の原則を使用することが含まれます。 最小権限の原則では、ユーザーは実行する必要のある機能に不可欠な特権のみを持つことができます。 これにより、1人のユーザーの認証情報が漏洩しても、システム全体が漏洩・侵害されることはありません。 ゼロトラストセキュリティ戦略では、継続的な検証を使用します。IT 部門は、毎回新しいログイン 認証情報を要求することで、システム全体を保護できます。

こちらの情報も併せてご活用ください

• Cybersecurity & Infrastructure Security Agency (CISA):この組織は、脆弱性に関する多数のリソース、ヒント、情報を提供しています。
• CISA Services Catalog: このリソースは、CISA のすべてのミッション領域に 1 か所でアクセスできるようにします。
• National Institute of Standard and Technology (NIST): このグループ(グループ)は、業界標準と最新のサイバーセキュリティ手法に関する情報を提供しています。
• 国土安全保障省 (DHS) - 科学・テクノロジー総局 (S&T): この組織は、サイバーセキュリティ リソース、参考文献、リンク、および出版物を提供しています。

参考文献

FBIは、 COVID-19詐欺の統計を含む「Internet Crime Complaint Center 2020 Internet Crime Report」をリリースします。(2021年3月)。連邦捜査局(FBI)。

サイバーセキュリティ。(2021年10月)。国土安全保障省(DHS)。

5つの最大のサイバーセキュリティの脅威。（2021年2月、セキュリティマガジン。

ランサムウェア攻撃が増加している理由と、それを阻止するために何ができるか。(2021年7月)PBSニュースアワー。

サイバースマートに。(2021).サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)。

サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)。

CISA サービス カタログ。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)。

国立標準テクノロジー研究所(NIST)。 国立標準テクノロジー研究所(NIST)。

サイバーセキュリティリソース。国土安全保障省(DHS)。