【保存版】以降〇〇セキュリティという単語が出てきたら、本記事を参照してください。

Column

2022/04/14

Share

שלום!(シャローム!)AironWorks Marketing Teamです。今回は多くの種類が存在する「〇〇セキュリティ」に焦点を当てて、「以後、〇〇セキュリティに出会ったらもうこれを参照すれば良い」という辞書のようなものを作成しました!ここまでたどり着いた方は迷わずブックマークに保存を!!

Index

IoTセキュリティ

説明
IoT
(Internet of Things)に関連したセキュリティ全般を指します。IoTとはデバイスなどの「モノ」がインターネットに繋がることです。例えば、Amazon Echoなどのスマートスピーカーや冷蔵庫などの電化製品のリモートコントロール、工場のロボットの遠隔操作などがあります。

事例
・マルウェアMiraiが、Linuxで動作するコンピュータを遠隔操作可能なボットへと変化させ、数々のDDoS攻撃の温床となった。(現在はソースコードがGitHub上で公開されている。)
・インターネット経由で操作可能なスマート貞操帯を装着していたサム・サマーズさんがハッキング被害にあい、貞操帯の操作権をハッカーに奪われてしまうという事態が起きた。(出典:GIGAZINE『スマート貞操帯をハッキングされ身代金を要求される事態が発生、被害者男性は「デジタルのものは信用できない」と語る』)

参考
IoTのセキュリティ:IPA 独立行政法人 情報処理推進機構

インフラセキュリティ

説明
電気、ガス、水道、通信などの重要インフラを担う設備を標的とする攻撃を防ぐことを指します。このような攻撃が成功すると、被害が広範に及ぶことが多く、求められるセキュリティのレベルも大きいです。

事例
・アメリカ、フロリダの水道局でシステムがハッキングされ、水道水中の水酸化ナトリウムのレベルを引き上げようとされていたことがわかった。(出典:CYBER SCOOP『Investigators suggest hackers exploited weak password security to breach Florida water facility』)
・UKのエネルギー系の会社の経営幹部の声をDeepfakeで偽造し、約2600万円が騙し取られる被害が発生した。(出典:WSJ『Fraudsters Used AI to Mimic CEO’s Voice in Unusual Cybercrime Case』)

参考
重要インフラの情報セキュリティ対策に係る第4次行動計画

エンドポイントセキュリティ

説明
「デスクトップ、ラップトップ、モバイルデバイス等のエンドユーザーデバイスのエンドポイントエントリーポイントを攻撃から保護するもの」(出典:McAfee)を指します。従来のウイルス対策ソフトやEDRなどの検知ソリューションがそれに該当します。ランサムウェア(データなどを暗号化して、その複合と引き換えに金銭などを要求するもの)などによる無差別な攻撃への対策はエンドポイントセキュリティが得意とするところです。有名なところでは、SentinelOneやCROWDSTRIKE、Cybereasonなどがあります。

事例
WannaCryというランサムウェアが、Microsoft Windowsの脆弱性(パッチは提供済みだった)を利用して金銭的被害をもたらした。攻撃開始から24時間で30万台以上のPCに感染し、日本を含む150ヶ国以上に被害が拡大した。ビットコインで金銭を要求している点も特徴的。(出典:CyberReason『WannaCry ランサムウェアと対処方法』)
Lockyというランサムウェアが、フィッシングメールを通じて送られたファイルを開封する形で感染を拡大した。.lockyという拡張子が特徴的。(出典:The Back Store Blog『【ランサムウェア】日本を重点的に攻撃した Locky とは?』)

参考
情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構
ランサムウェア対策特設ページ:IPA 独立行政法人 情報処理推進機構
ウイルス対策:IPA 独立行政法人 情報処理推進機構

エンプロイーセキュリティ

説明
ある組織の構成員を通じて
、その組織に危害を加えたり、本来公開されていない情報にアクセスできるようにしたりする標的型攻撃を防ぐことです。(出典:AironWorks)例えば、以下のような攻撃を想定しています。

・ソーシャルエンジニアリング
・フィッシング
・BECスキャン
・スキャミング
・内部不正
 etc…

このようなソーシャルな攻撃に対する大規模メール訓練やソーシャルなペントレーションテストをエンプロイーセキュリティと呼んでいます。

事例
・GoogleとFacebookがスピアフィッシング被害に遭い、総額約123億円をリトアニア人ハッカーから詐取された。(出典:GRAPHUS『3 Lessons From the Facebook and Google Loss of $100M to a Spear Phishing Attack』)
・日本経済新聞がBECスキャンの被害に遭い、約29億円を詐取された。(出典:CYBERSCOOP『Japanese media giant Nikkei says $29 million lost in BEC scam』)

参考
情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構
内部不正の防止には、経営層を含めた組織横断的防御を!!:IPA 独立行政法人 情報処理推進機構

クラウドセキュリティ

説明
クラウドに関するセキュリティ
です。例えば、AWSやGCP、Azureのようなインフラ系のクラウドだけでなく、SaaSなどの利用・提供全般など、クラウドを広くカバーしています。例えば、SaaSプロバイダにとってはWAFのようなソリューションが効果的です。また、アクセス権限設定などの漏れなどに関して、ペネトレーションテストなどで見直すことも重要です。

事例
・クラウド会計ソフトfreeeがSalesforceの設定不備で個人情報が流出した可能性(出典:サイバーセキュリティ.com『設定不備で問い合わせ情報が外部閲覧可能|freee株式会社』)
・Facebookの5.4億もの個人情報がAWS S3を通じて流出した。(出典:UpGuard『Losing Face: Two More Cases of Third-Party Facebook App Data Exposure』)
・Googleのクラウドサービスに障害があり、GCP、YouTube、Gmail、Google Driveに影響(出典:Google『An update on Sunday’s service disruption』)

参考
IPA
cloudsecurityalliance.org
csajapan
クラウドセキュリティ | AWS

コンピュータセキュリティ

説明
コンピュータシステムを災害、誤用および不正アクセスなどから守ることです(出典:Wikipedia)。多くのセキュリティを包含する概念とも言えます。

ゼロトラストセキュリティ

説明
ネットワークの内側と外側を区別せず、全ての通信を等しくうたがって監視するという概念です(出典:ITmedia)。要するに、性悪説に基づくセキュリティです。ネットワークの内と外を区別する境界線は、モバイル端末やクラウドの普及などでますます曖昧化してきました。そのような現状を踏まえて生まれたのが「全て疑ってしまえ」というゼロトラストモデルです。

参考
ゼロトラストネットワーク

データセキュリティ

説明
個人情報や財務情報など、企業にとって価値があり機密性の高い企業データや顧客データを保護するための慣行であり、そのための技術でもあります。(出典:Looker)要するに、自社アプリケーションやシステムに保存されているデータを守ろうということです。

事例
・SoftbankやAlibabaが出資するインドネシアのECユニコーンTokopediaがソーシャルエンジニアリングの被害に遭い、1500万もの顧客データ(メールアドレス、ハッシュ化されたパスワードなど)が流出。(出典:The Jakarta Post『Tokopedia data breach exposes vulnerability of personal data』)
・PayPayがブラジルからの不正アクセスを受け、加盟店など約260万店舗の営業情報等をまとめたデータベースに登録されていた情報最大約2千万件について、流出の可能性が判明した(出典:サイバーセキュリティ.com『PayPay不正アクセスで加盟店等の情報約260万件流出か、ブラジルからの攻撃』)

参考
情報セキュリティ安心相談窓口:IPA 独立行政法人 情報処理推進機構
情報漏えい発生時の対応ポイント集:IPA 独立行政法人 情報処理推進機構

テレワークセキュリティ(リモートワークセキュリティ)

説明
テレワークやリモートワークに関するセキュリティ
です。新型コロナウイルスにより、多くの方がテレワークやリモートワークセキュリティに移行したことにより、従来型のセキュリティとは異なる種類のセキュリティが求められるようになりました。そのような注意喚起も念も含めて、テレワークセキュリティと呼ばれます。

参考
情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構
テレワークを行う際のセキュリティ上の注意事項:IPA 独立行政法人 情報処理推進機構

ネットワークセキュリティ

説明
イントラネットやインターネットに関するセキュリティ
です。ネットワークに関するセキュリティ全般を指し、その意味ではコンピュータセキュリティ同様、広範な概念と言えるでしょう。

参考
IPA

モバイルセキュリティ

説明
スマートフォンやタブレット端末などのモバイル機器に関するセキュリティ
を指します。例えば、スマートフォンにウイルス対策ソフトなどをインストールするようなものです。コンピュータ同様、モバイル端末についてもセキュリティを考える必要があります。一般にiOSやAndroidなどがセキュアと考えられているため、注意喚起も念も含まれているとも言えるでしょう。

事例
・Google Play Storeからダウンロード可能のバーコードスキャンアプリがマルウェアと化した。(出典:CYBERSCOOP『Barcode scanner in Google Play Store became malware after years of popularity, researchers say』)

参考
情報漏えいを防ぐためのモバイルデバイス等設定マニュアル:IPA 独立行政法人 情報処理推進機構

最後に

最後までお読みいただきありがとうございました!追加して欲しいセキュリティがある方はどしどしコメントお願いします!!そしてブックマークもお忘れなく!