2025年版 サイバーセキュリティのベストプラクティス

近年、個人や企業は日常業務を遂行するためにオンラインプロセスやサービスに依存するようになりました。スマートデバイスを用いた通信や電子商取引は、今や私たちの生活様式の一部です。企業は業務やデータをクラウドに移行しました。残念ながら、これは反社会的・犯罪的活動も生み出しています。

ランサムウェアは特に注目を集めています。例えば、最近のマイクロソフトシステムアップグレードの失敗により航空管制システムが停止し、米国だけで3,000便以上のフライトに影響が出ました。犯罪活動の増加を示すもう一つの例は、企業データベースから個人情報を盗み出し、金銭や物品を盗むために利用する個人情報盗難です。

サイバーセキュリティとは何か、なぜ必要なのか？

サイバーセキュリティは、個人や組織がシステム、データ、ネットワークを不正アクセス、攻撃、データ窃盗、侵害から保護するのに役立ちます。これには、ファイアウォールの構築、マルウェアの特定、システムやデータへのユーザーアクセスの管理などを行うツールが使用されます。企業環境では、これらに加え、全ユーザーが遵守すべきポリシーや手順が補完的に機能します。

ベストプラクティスとは、セキュリティリスクを最小限に抑え、機密情報を保護するためのガイドライン、ポリシー、手順を指します。

サイバーセキュリティの一般的なリスク、課題、問題点

サイバーセキュリティが対処すべき主な課題と問題点を以下に示します：

フィッシング攻撃

• 問題点: フィッシングは最も一般的で成功率の高いサイバー攻撃の一つです。攻撃者は偽装メールやメッセージを用いて、ユーザーに機密情報の開示や悪意のあるリンクのクリックを促します。
• 課題:ユーザー教育にもかかわらず、フィッシングの手口はますます巧妙化しており、検知が困難になっています。

ランサムウェア

• 問題点: ランサムウェア攻撃は被害者のデータを暗号化し、復号化のための支払いを要求します。これらの攻撃は様々な業界の組織を標的とします。
• 課題: システムが感染すると、復旧は複雑で費用がかかる場合があります。これらの攻撃を防ぐには、継続的な更新と従業員のトレーニングが必要です。

内部者脅威

• 問題点: 従業員や契約社員が、機密データの漏洩、アクセス権限の悪用、ソーシャルエンジニアリング攻撃の被害者となることで、意図的または偶発的に損害を与える可能性があります。
• 課題: プライバシーと信頼を損なわずに内部者の活動を監視しつつ、悪意のある意図を検出することは、微妙なバランスを要する課題です。

古いソフトウェアとパッチ管理

• 課題: ソフトウェアの未修正脆弱性はサイバー攻撃の一般的な侵入経路です。攻撃者はこれらの脆弱性を悪用し、システムへの不正アクセスを得ます。
• 課題: 組織全体のすべてのシステムとソフトウェアにタイムリーなパッチ適用を確保することは、特に大規模なIT環境においてリソース集約的です。

サードパーティベンダーのリスク

• 課題: 多くの組織は様々なサービスをサードパーティベンダーに依存しており、ベンダーのサイバーセキュリティ態勢が脆弱な場合、リスクに晒される。
• 課題: サードパーティリスクの評価と管理は困難であり、特にベンダーが機密システムやデータにアクセスできる場合には顕著です。

サイバーセキュリティ意識の欠如

• 問題点: 従業員がサイバーセキュリティのベストプラクティスを認識していない、またはそれらを遵守する際に不注意であることが原因で、多くのセキュリティ侵害が発生しています。
• 課題:継続的かつ効果的なサイバーセキュリティ研修プログラムは不可欠ですが、維持が困難です。

DDoS（分散型サービス拒否）攻撃

• 問題点: DDoS攻撃は、トラフィックでサーバーやネットワークを圧倒し、サービスの中断を引き起こします。
• 課題: 大規模なDDoS攻撃への防御には堅牢なインフラが必要であり、小規模組織にとってはコストがかかる場合があります。

規制コンプライアンス

• 課題: 組織は様々なサイバーセキュリティ規制（GDPR、HIPAAなど）への準拠が求められており、これには厳格なセキュリティ対策の実施が伴うことが多い。
• 課題: 進化する規制に対応し、全業務にわたるコンプライアンスを確保するには、多大なリソースが必要となる場合があります。

データ侵害

• 課題: 機密情報への不正アクセスはデータ漏洩を引き起こし、財務的・評判的損害につながる可能性があります。
• 課題: 特に高度な攻撃者が関与する場合、損害を最小限に抑えつつデータ侵害を迅速に検知・対応することは困難です。

AIと機械学習のリスク<

• 課題:AIと機械学習がサイバーセキュリティに活用される一方で、攻撃者もこれらの技術を利用してより高度で個別化された攻撃を仕掛けています。
• 課題: こうした新たな脅威に対応し、既存システムを補完・強化するAIシステムを開発することは困難な場合があります。

IDおよびアクセス管理（IAM）

• 課題: 脆弱な認証メカニズムや不適切なアクセス制御は、重要なシステムやデータへの不正アクセスを招く可能性があります。
• 課題: 多要素認証（MFA）や ロールベースアクセス制御(RBAC)などの堅牢なIAMソリューションを複雑な環境全体で実装することは困難です。特に、様々なデバイスやオペレーティング環境からアクセスが要求される場合には顕著です。

在宅勤務、IoT、クラウド環境におけるサイバーセキュリティ

• 課題: リモートワークの普及やデータ・アプリケーションのクラウド移行が進む中、新たなサイバーセキュリティ上の課題が生じている。
• 課題: 機器の種類や運用環境など、多くのポリシーや手順を容易に適用できず、新たなポリシーや手順の開発・展開が必要となる。

クラウドセキュリティリスク

• 課題: 組織がクラウド環境へ移行するにつれ、データ漏洩、クラウドサービスの設定ミス、アクセス権限管理の不備といったセキュリティ上の課題が生じる。
• 課題: クラウド環境におけるセキュリティ管理には、従来のオンプレミス型セキュリティモデルとは異なる専門知識と戦略が必要です。

BYOD（個人所有端末の持ち込み）ポリシー

• 課題: 従業員が個人所有のデバイスを社内・リモート環境で業務に使用することを許可すると、ネットワークはより広範な潜在的な脆弱性に晒される。
• 課題:これらのデバイスのセキュリティ確保と個人データ・業務データの分離は複雑です。

IoT（モノのインターネット）の脆弱性

• 問題点: IoTデバイスはセキュリティが脆弱な場合が多く、攻撃者にとって容易な標的となる。
• 課題: 家庭、オフィス、産業システムで急速に増加するIoTデバイスのセキュリティ確保は重大な課題です。

これらのサイバーセキュリティ課題に対処するには、リスクを軽減し脅威に効果的に対応するため、技術、ポリシー、従業員の意識向上の組み合わせが必要です。

Singularity™ Endpoint Securityが高度なサイバー脅威に対して自律的な保護を提供する仕組みをご覧ください。

サイバーセキュリティのベストプラクティス

企業レベルでは、サイバーセキュリティ環境を提供するために複数のソリューションが利用可能です。高く評価されているアプリケーションスイートの一つが、SentinelOneによって提供されています。同社の世界的な顧客基盤の概要は、こちらでご覧いただけます。

小規模ネットワークや個人向けにも同様のアプリケーションが存在します。

組織は可能な限り保護を確保するため、サイバーセキュリティのベストプラクティスを検討する必要があります。これは広範な分野であり、絶えず変化・拡大を続けています。具体例は こちら でご覧いただけます。

サイバーセキュリティの5つのCとは、変更、コンプライアンス、コスト、継続性、カバレッジです。ベストプラクティスの記述はこれらに準拠すべきです。さらに、遵守すべき5つの基本原則がある：

1. リスク管理—システムとデータに対する潜在的なリスクを特定・評価し、これらのリスクを軽減する戦略を実施する。
2. ネットワークセキュリティ—ファイアウォール、侵入検知システム、安全な設定を導入し、ネットワークインフラを保護します。
3. アクセス制御—機密情報やシステムへのアクセスを許可されたユーザーのみに制限します。これには、ユーザー権限の管理や強力な認証方法の使用が含まれます。
4. 監視と検知— システムを継続的に監視し、不審な活動を検知するとともに、潜在的なセキュリティ侵害を検知し対応するための仕組みを整える。
5. インシデント対応— セキュリティインシデントに迅速に対処し復旧するためのインシデント対応計画を策定し、訓練を実施する。

上記の課題と問題を念頭に置き、5つの基本原則に準拠したサイバーセキュリティのベストプラクティスを以下に示します。

#1. 強力でユニークなパスワードを使用する

• 英字、数字、特殊文字を複雑に組み合わせたパスワードを使用してください。システム生成のパスワードを使用し、ユーザー自身による生成を許可しないでください。
• 複数のアカウントで同じパスワードを使用しないでください。
• 複雑なパスワードの生成、安全な保管、管理にはパスワードマネージャーを使用してください。

#2. 多要素認証（MFA）を有効にする

• パスワードに加えて追加の認証（例：SMSコード、認証アプリ）を要求することで、セキュリティを強化します。

#3. ソフトウェアを最新の状態に保つ

• オペレーティングシステム、ソフトウェア、アプリケーションを定期的に更新し、脆弱性を修正してください。
• 自動更新を有効にし、デバイスとシステムが最新のセキュリティパッチを自動的に受け取れるようにしてください。

#4. すべてのデバイスにウイルス対策ソフト、スパイウェア対策ソフト、マルウェア対策ソフトをインストールする

• 信頼できるアンチウイルス、アンチスパイウェア、アンチマルウェアツールを使用して、悪意のあるソフトウェアをスキャンしブロックします。
• 定期的なスキャンを実行し、脅威を検出・除去します。
• マルウェアのパターン更新を定期的に（少なくとも毎日）実施してください。

#5. ファイアウォールの使用

• ファイアウォールは、送受信トラフィックを監視することでネットワークへの不正アクセスを遮断します。ソフトウェアとハードウェアの両方のファイアウォールが有効になっていることを確認してください。

#6. WiFiネットワークの保護

• WPA3暗号化でWiFiを設定し、ルーターのデフォルトパスワードを変更してください。
• プライベートで安全なVPNを使用しない限り、機密性の高い取引に公共WiFiを使用しないでください。

#7.データの定期的なバックアップ

• 重要なデータのバックアップを、安全なオフサイトまたはクラウドベースのストレージシステムで維持してください。
• バックアッププロセスが機能することを確認するため、定期的に復元テストを実施してください。

#8. フィッシング攻撃に注意

• 自身および他のユーザーが、フィッシングやその他のソーシャルメディア・ソーシャルエンジニアリング攻撃の手口を理解していることを確認する。
• 特に金銭や物品に関するものなど、一方的な提案や要求には疑いの目を持ちましょう。例えば、配送業者を装い、配達完了のために金銭を要求するメール攻撃がよく見られます。

#9. 従業員の教育と訓練

• フィッシング、ソーシャルエンジニアリング、セキュリティ意識に関する定期的な研修を実施し、従業員が潜在的な脅威を認識できるようにします。
• 利用規定やデータ保護ガイドラインなどのセキュリティポリシーを導入します。

Singularity™ XDR を使用することで、企業全体での脅威検出が強化されます。

#10.メールの衛生管理を徹底する

• 不審なリンクをクリックしたり、未確認のメールから添付ファイルをダウンロードしたりしないでください。
• フィッシングメールを減らし、悪意のあるリンクをブロックするためにスパムフィルターを設定してください。

#11. 機密データの暗号化

• 保存時と転送時の両方で機密データを暗号化し、復号鍵なしでは不正アクセスできないようにする。

#12. システムの定期的なバックアップ計画を策定する

• システムの定期的なバックアップ（理想的には自動化）を実施する。これはランサムウェア攻撃時に重要であり、インフラシステムをベアメタル状態に戻し、最新の有効なバックアップを復元することで復旧が可能となる。

#13.ユーザー権限の制限

• 最小権限の原則を実装し、ユーザーが業務遂行に必要なアクセス権のみを保有するようにする。
• ロールベースアクセス制御（RBAC）を使用して権限を管理し、機密領域へのアクセスを制限します。このプロセスを支援するソフトウェアツールも利用可能です。
• ユーザーの権限を定期的に見直し、職務変更した従業員が以前の職務の権限を放棄していることを確認します。

#14. 積極的なサイバーセキュリティ体制の構築

• セキュリティ意識を高めるガイドラインを提供する、公開された職場向けサイバーセキュリティポリシーを作成する。また、セキュリティ脅威やセキュリティ障害を疑った場合の対応手順を明確に示すべきである。
• 疑わしいセキュリティ脅威やセキュリティ障害は直ちに報告する。これにより被害を軽減または防止できる。
• セキュリティ監視ツールを使用して、異常なログイン試行やデータ転送などの不審な活動を追跡する。金融取引では特に必要です。

#15. セキュリティ監査の実施

• ログを定期的に確認し、潜在的な脅威を早期に特定してください。

#16. 物理デバイスの保護

• ノートパソコンやスマートデバイスなど、現場のエンドユーザー端末はすべてパスワードで保護し、特に機密性の高い端末については生体認証によるセキュリティを確保してください。使用していない場合は安全な場所に保管してください。

#17.モバイルデバイスのセキュリティ確保

• 可能な限り、標準的なデバイスソフトウェア構成を使用すること。
• デバイス暗号化を使用し、強力な認証を要求するもの。
• リモートで使用されるモバイルデバイスでは暗号化アプリを使用する、
• データ侵害やマルウェアを防ぐセキュリティアプリをインストールする、
• 可能な限り、安全でないWiFiネットワークへの接続を禁止し、安全なVPN経由での接続を強制する、
• アプリのダウンロードを許可しない。

#18. 物理的セキュリティの実施

• データセンターやサーバールームなどの機密エリアへのアクセスを制限する。
• アクセス制御システム、監視カメラ、警報装置などのセキュリティ対策を導入する。&

#19. インシデント対応計画の策定

• データ侵害やランサムウェア攻撃などのサイバーセキュリティインシデントに対応するための文書化された計画を作成する。
• インシデント対応計画を定期的にテストし更新して、対応態勢を強化する。

#20. モノのインターネット（IoT）

モノのインターネット（IoT）は、職場にネットワーク対応の新たなデバイス群をもたらしました。例えば、製造管理システムでは生産プロセス管理に広く利用され、性能統計を中央データベースに送信します。概して、これらは一般的なマルウェア対策機能を持たない非標準OSを使用しておりマルウェア対策やその他のセキュリティプロトコルをサポートする能力を持たない非標準のオペレーティングシステムを使用しています。ハッカーはこれらをネットワークへの侵入手段として利用できます。

IoTデバイスをネットワークに導入することは、それらを取り巻くセキュリティ対策の見直しを意味します。

ベストプラクティス：活用しましょう

これらのサイバーセキュリティのベストプラクティスを採用することで、自身を保護するだけでなく、職場全体のセキュリティ態勢にも貢献できます。サイバー脅威は絶えず進化しており、機密情報を守るためには警戒を怠らないことが重要です。

デジタル領域において、あなたの行動はサイバー攻撃者に対する集団防御を強化する上で重要な役割を果たすことを忘れないでください。常に情報を更新し、安全を確保し、サイバー脅威に耐性のあるデジタル世界を共に築きましょう。

結論

上記のサイバーセキュリティのベストプラクティスに従うことで、組織は最新のサイバー攻撃に直面するリスクを大幅に低減できます。SentinelOneのような高度なセキュリティソリューションを活用してエンドポイントや機密データを保護できます。しかし重要なのは、最良のツールを使用することだけでなく、その活用方法にあります。

従業員トレーニングとセキュリティ意識の醸成は、組織全体で主要なサイバーセキュリティ対策を導入する上で不可欠な活動です。チェックリストを作成し、コンプライアンス状況を検証し、サイバーセキュリティデータガバナンスに注力してください。企業全体を俯瞰的に捉えることが重要です。