情報セキュリティ (InfoSec) とは
情報セキュリティ (information security) は InfoSec という短縮形で呼ばれることもありますが、エンタープライズ企業の機密情報を悪用、不正アクセス、混乱、破壊から幅広く保護するためのセキュリティ手順とツールの集合です。情報セキュリティ (InfoSec) は物理的および環境的セキュリティ、アクセス制御、サイバーセキュリティを包含します。多くの場合は、 クラウド アクセス セキュリティ ブローカー (CASB)、デセプション ツール、エンドポイントでの検出と対応 (EDR)、DevOps のためのセキュリティ テスト (DevSecOps) などのテクノロジが含まれます。
情報セキュリティの主な要素
情報セキュリティ (InfoSec) は多様なセキュリティ ツール、ソリューション、プロセスで構成され、エンタープライズ情報のセキュリティをすべてのデバイスと場所にわたって保ちます。サイバー攻撃などの、ビジネスを混乱させる出来事から保護するのに役立ちます。
アプリケーション セキュリティ
アプリケーションとそのデータを保護するために規定されたポリシー、手順、ツール、ベスト プラクティス。
クラウド セキュリティ
クラウドのあらゆる面 (これにはシステム、データ、アプリケーション、インフラストラクチャが含まれます) を保護するために規定されたポリシー、手順、ツール、ベスト プラクティス。
暗号
アルゴリズム ベースで通信のセキュリティを確保する方法。そのメッセージを、本来の受信者だけが見て解読できるようにすることを目的とします。
ディザスター リカバリー
自然災害やサイバー攻撃などの、ビジネスを混乱させる出来事の発生後にテクノロジ システムを再び機能する状態にする方法。
インシデント応答
サイバー攻撃やデータ漏洩などの、ビジネスを混乱させる出来事への対応、修復、余波の管理についての組織の計画。
インフラストラクチャ セキュリティ
1 つの組織のテクノロジ インフラストラクチャ全体 (これにはハードウェアとソフトウェアの両方のシステムが含まれます) を包含するセキュリティ。
脆弱性の管理
組織のエンドポイント、ソフトウェア、システムにおける脆弱性を特定し、評価し、修復するプロセス。
情報セキュリティの 3 つの柱: CIA トライアド
機密性 (Confidentiality)、完全性 (Integrity)、可用性 (Availability) は堅実な 情報保護に欠かせない要素であり、エンタープライズ企業のセキュリティ インフラストラクチャの基礎を作ります。この "CIA トライアド" の 3 つの概念が、情報セキュリティ (InfoSec) の計画を実施に移すときの指針となります。
機密性
プライバシーは情報セキュリティ (InfoSec) の主要な構成要素の 1 つであり、組織は認可を受けたユーザーだけが情報にアクセスできるようにするための施策を実施する必要があります。データ暗号化、 多要素認証、データ損失防止などのツールは、エンタープライズ企業がデータの機密性を確実に保つのに役立ちます。
完全性
エンタープライズ企業はデータの完全性を、そのライフサイクル全体にわたって保つ必要があります。堅実な情報セキュリティ (InfoSec) を持つエンタープライズ企業は、正確で信頼できるデータの重要性を理解しており、認可されていないユーザーによるデータのアクセスや改変などを一切許可しません。アクセス許可、ID (アイデンティティ) 管理、ユーザー アクセス制御などのツールは、データ完全性の維持に役立ちます。
可用性
情報セキュリティ (InfoSec) には、物理的ハードウェアの継続的な保守と定期的なシステム アップグレード実施が含まれていますが、これは認可を受けたユーザーが必要なときいつでも確実にデータにアクセスできるようにするためです。
一般的な情報セキュリティの脅威
APT (Advanced Persistent Threat) 攻撃:
長い期間にわたって行われる巧妙なサイバー攻撃。この間、攻撃者は潜伏したままでエンタープライズ企業のネットワークとデータへのアクセスを獲得します。
ボットネット:
"ロボットのネットワーク" (robot network) からの造語であるボットネット (botnet) は、悪意のあるコードに感染させたデバイスを接続して作られたネットワークであり、攻撃者が遠隔で制御します。
分散型サービス拒否 (DDoS) 攻撃:
DDoS 攻撃は、ボットネットを利用して特定の組織の Web サイトまたはアプリケーションを圧倒するというものであり、その結果としてクラッシュしたり、正当なユーザーが利用できなくなったりします。
ドライブバイ ダウンロード攻撃:
ユーザーがある Web サイトにアクセスしたときに、悪意のあるコードが自動的にユーザーのデバイスにダウンロードされ、これによってそのユーザーはそれ以降のセキュリティ脅威に対して脆弱な状態になります。
エクスプロイト キット:
エクスプロイト (悪用) を利用して脆弱性を見つけてデバイスをマルウェアに感染させるためのツールを、幅広く集めたものです。
内部関係者による脅威:
組織の内部にいる人物が、認可されたアクセスを悪用して、意図的かどうかにかかわらず、その組織のシステム、ネットワーク、データに損害を与える、または脆弱にする可能性のことです。
中間者 (Man-in-the-middle: MitM) 攻撃:
悪意のある攻撃者が通信またはデータ転送の線に割り込み、正当なユーザーを偽装して情報またはデータの盗み出しを目論むことです。
フィッシング攻撃:
フィッシング攻撃とは、本物の組織またはユーザーを偽装してメール、テキスト メッセージ、またはその他の通信方法を介して情報を盗み出そうとすることです。
ランサムウェア:
マルウェアを使った強要攻撃。特定の組織または個人の情報を暗号化し、アクセスできない状態にして、その解除と引き換えに身代金を要求します。
ソーシャル エンジニアリング:
人間の交流を発端とするサイバー攻撃。攻撃者はベイティング (わな)、スケアウェア、またはフィッシングを使って被害者の信頼を獲得し、個人情報を収集し、その情報を使って攻撃を実行に移します。
ソーシャル メディア攻撃:
ソーシャル メディア プラットフォームを標的とするサイバー攻撃。そのプラットフォームをデリバリー メカニズムとして悪用し、あるいはユーザーの情報とデータを盗みます。
ウイルスとワーム:
悪意のある、潜伏するマルウェア。自己複製してユーザーのネットワークまたはシステム全体に広がります。
情報セキュリティに使用されるテクノロジ
クラウド アクセス セキュリティ ブローカー (CASB)
エンタープライズ ユーザーとクラウド サービス プロバイダーとの間に位置するセキュリティ ポリシー適用ポイント。認証と資格情報マッピングから暗号化とマルウェア検出に至るまで、さまざまな種類のセキュリティ ポリシーを結合します。CASB は承認済みと未承認両方のアプリケーションに対して、およびマネージドとアンマネージド両方のデバイスに対して機能します。
データ損失防止
データ損失防止 (Data Loss Prevention: DLP) は、機密データの損失や悪用を防ぐためのポリシー、手順、ベスト プラクティスを包含します。主なツールとしては、暗号化 (平文を所定のアルゴリズムを介して暗号文に変換すること) や、トークン化 (一連の乱数をデータに割り当て、トークン金庫データベースを使用してこの関係を保存すること) があります。
エンドポイントでの検出と対応 (EDR)
EDR (Endpoint Detection and Response) は、ツールを利用してエンドポイント デバイスにおける脅威を検出し、調査し、対応するセキュリティ ソリューションです。
マイクロセグメンテーション
マイクロセグメンテーションとは、データセンターを複数の、細分化したセキュアなゾーン (セグメント) に分割してリスク レベルを軽減することです。
DevOps のためのセキュリティ テスト (DevSecOps)
DevSecOps とは、セキュリティ施策を開発プロセスのあらゆるステップで統合することであり、スピードを上げて、先回り型のより良いセキュリティ プロセスを作ります。
ユーザー/エンティティ行動分析 (UEBA)
UEBA (User and Entity Behavior Analytics) は、典型的なユーザー行動を観察して正常範囲を逸脱するアクションを検出するプロセスです。エンタープライズ企業が潜在的な脅威を特定するのに役立ちます。
情報セキュリティとお客様の組織
エンタープライズ企業に情報セキュリティ管理システム (ISMS) を導入すると、セキュリティ コントロールを組織全体で標準化することができます。これによってセットアップされる独自または業界の標準で、情報セキュリティ (InfoSec) と リスク管理を確実にします。情報セキュリティ (InfoSec) への体系的なアプローチを採用することは、組織を不要なリスクから先回りして保護するとともに、発生した脅威を社内のセキュリティ チームが効率的に修復するのに役立ちます。
情報セキュリティの脅威の発生に対応する
セキュリティ チームが情報セキュリティ (InfoSec) の脅威のアラートを受け取ったときは、次のことを行います:
- チームを招集して自社のインシデント レスポンス計画に従います。
- 脅威の発生源を特定します。
- その脅威を封じ込めて修復するためのアクションを実行します。
- 発生した損害の評価を行います。
- 関係者に通知します。
よく寄せられる質問
-
サイバーセキュリティ は、InfoSec の広範な取り組みの一部です。情報セキュリティ (InfoSec) は多様な情報領域とリポジトリを包含し、これには物理的デバイスとサーバーも含まれますが、サイバーセキュリティが指すのはテクノロジ的セキュリティだけです。
-
情報セキュリティ (InfoSec) は、エンタープライズ企業が情報を脅威から保護するために規定するセキュリティ施策、ツール、プロセス、ベスト プラクティスを指しますが、データ プライバシーは個人のデータと情報を企業がどのように扱うかについてその個人がコントロールおよび同意する権利を指します。
-
情報セキュリティ管理は、エンタープライズ企業が情報とデータを脅威や攻撃から保護するために採用するポリシー、ツール、手順の集合を表します。
-
ISMS (Information Security Management System) とは、エンタープライズ企業が情報セキュリティ (InfoSec) のポリシーと手順を集めて整理し、レビューし、改善するのに役立つ一元化システムです。リスクを軽減するとともに、 コンプライアンス管理の助けにもなります。
-
独立団体である ISO (国際標準化機構) と IEC (国際電気標準会議) が作成した、情報セキュリティ (InfoSec) に関する標準です。その目的は、幅広い業種の組織が効果的な情報セキュリティ ポリシーを規定できるようにすることです。ISO 27001 の内容は情報セキュリティ (InfoSec) と ISMS の実装に関する標準です。
Microsoft Security をフォロー