JP
■情報セキュリティを基礎から実践まで学びたい方はこちら
【2025年版】情報セキュリティ10大脅威と企業が取るべき対策を分かりやすく解説
情報セキュリティ領域の国家試験
今回のニュース
アサヒビールがサイバー攻撃で「90億円」の損失も!?
ここ数カ月、国内の大手企業を標的にしたランサムウェア(身代金要求型ウイルス)による大規模サイバー攻撃が相次ぎました。
ランサムウェアとは、企業などのサーバーのデータを無断で暗号化して使えなくする悪質なプログラムのこと。ハッカー集団が企業などのシステムに侵入し、ランサムウェアに感染させることで「もとに戻してほしければ、身代金(Ransom)を払え」と要求するという、システムを人質にした誘拐犯のようなサイバー攻撃が行われます。と同時にデータを盗み出し、「身代金を払わないとデータを公開する」と二重におどす手口が主流になっています。
10月には法人向け通販のアスクルが、ランサムウェアによる大規模なサイバー攻撃を受け、システム障害が発生。顧客や取引先のデータなど70万件以上の個人情報が流出したほか、通販の注文や物流に大きな影響が出ました。このシステム障害によって停止していた物流システムは12月中旬にようやく一部復旧し、12月17日には金額ベースで6〜7割の復旧が発表されたものの、完全復旧には至っていません。
もう1社、企業が受けたサイバー攻撃による被害の深刻さを多くの消費者が実感したのは、アサヒグループホールディングスのケースです。アサヒビール、アサヒ飲料などの子会社を傘下に持つ同グループは、9月にランサムウェアによる攻撃を受けたことで、大規模なシステム障害が発生。グループの受注・出荷業務、そしてコールセンター業務までもが停止しました。
その結果、お歳暮向けビールの商品数が絞られたり、アサヒビールの商品がコンビニで品薄になったりするなどの事態が起きたほか、11月には、品薄になったアサヒビールの商品の代わりに購入されたことで、ほかのメーカーのビールまでもが店頭から姿を消すなど、ビール業界を中心に大混乱が起こりました。
アサヒグループホールディングスは完全復旧目標を2026年2月に設定していますが、それまでに商品の出荷減や復旧費用などで約90億円の損失が生まれるとの見方も報じられています。
いまや“身代金”は、足がつきにくい仮想通貨で要求されることがほとんどで、サイバー犯罪にとっては、仕事がやりやすい環境が生まれてしまっています。欧米では、犯人のいいなりに数億円もの身代金を払う企業も少なくないと言われる一方、身代金を払ったところで情報資産が復元されないケースも多く、支払いに応じる企業は減少傾向との説も。
アサヒグループホールディングスへの攻撃で犯行声明を出したのは、世界的に脅威をふりまいているランサムウェアグループ「Qilin(キリン)」です。こうしたハッカー集団は、公開されているシステムの脆弱性や設定ミスを狙ったり、ダークウェブなどで入手した管理者の認証情報(パスワードなど)を使ったりして、企業のサーバーに侵入してきます。
なかでも、システムへの最初のアクセスを得る手段は、依然としてフィッシングの手口によって社員や関連業者のアカウント情報を抜き取ることが多いといいますから、要注意です。
今日もハッカー集団はデジタル世界で、企業の社員や関連業者の動きをチェックしつつ、小さな突破口を探しているかもしれません。あらゆるビジネスにITがかかわるこの時代、どんな人にもサイバーセキュリティへの対策は必須なのです。
「ITパスポート試験」の上位資格として人気
今回ご紹介する「情報セキュリティマネジメント試験」は、IT分野の国家資格群「情報処理技術者試験」の試験区分のひとつです。情報処理技術者試験はIT関連の技術や動向の変化に対応して定期的に資格体系や試験内容の改定が行われていますが、情報セキュリティマネジメント試験は、サイバーセキュリティの重要性が年々増していることに対応して2016年に新設された、比較的新しい試験区分です。
情報処理技術者の資格群の中では、もっとも入門的な試験区分と位置付けられている「ITパスポート試験」が有名ですが、ITパスポート試験がネットワーク、セキュリティ、そしてITに経営戦略を結びつけるITストラテジなど、IT全般の基本的な知識を広く浅く問う試験であるのに対して、情報セキュリティマネジメント試験は、そのうちセキュリティ領域に特化してやや高度な内容を問う試験となっています。
情報セキュリティは現代社会における最重要課題のひとつであり、この試験も年々注目度を高める人気資格となりました。2024年度の年間受験者数は4万人以上にもおよびます。
なお、情報処理技術者の試験区分のうち、「応用情報技術者」や「プロジェクトマネージャ」などの上位資格については、従来、ペーパー試験形式で実施されていたのが2026年度からCBT形式に移行されるなどの大規模な制度改定が発表されています。
なお、ITパスポート試験や情報セキュリティマネジメント試験は先行してCBT化されて随時、受験可能となっていますが、システムリプレースなどのため、2026年4月27日から1カ月程度、試験の一時的な休止が予定されています。もしかしたら上記改定にあわせて試験の仕様などが少し変わる可能性もあるので、休止前に早めに受けておくのが無難かもしれません。
いま注目の「ゼロトラスト」セキュリティとは
公式サイトでは、直近の年度に出題された過去問から一部を抜粋したものが掲載されています。そのなかから何問かご紹介しましょう。
【Q1】情報の取扱基準の中で、社外秘情報の持出しを禁じ、周知した上で、従業員に情報を不正に持ち出された場合に、“社外秘情報とは知らなかった”という言い訳をさせないことが目的の一つになっている対策はどれか。
- 権限がない従業員が文書にアクセスできないようにするペーパレス化
- 従業員との信頼関係の維持を目的にした職場環境の整備
- 従業員に対する電子メールの外部送信データ量の制限
- 情報の管理レベルについてのラベル付け
【Q2】社内ネットワークからインターネットへのアクセスを中継し、Webコンテンツをキャッシュすることによってアクセスを高速にする仕組みで、セキュリティ確保にも利用されるものはどれか。
- DMZ
- IPマスカレード(NAPT)
- ファイアウォール
- プロキシサーバ
【Q3】ゼロトラストの説明として、最も適切なものはどれか。
- 機器やソフトウェアの脆弱性のうち、開発元から対策方法、修正プログラムなどが提供されていない脆弱性が残っている状態のこと
- 内部ネットワークであっても必ずしも安全ではないことを前提として対策を講じる考え方のこと
- 秘密情報そのものは明かさずに、自分が秘密情報を知っていることを相手に知らせる方法のこと
- マルウェア定義ファイルを用いず、PCの振る舞いからマルウェア感染を検知する手法のこと
正解は記事末尾に記載しますが、今回のニューストピックにも関連するQ3についてだけ先に解説すると、「ゼロトラスト」(Zero Trust)とは、「あらゆるアクセスを信頼せず、常に検証する」というセキュリティの考え方。従来型の、社内と社外などに境界線を引いて防御する考え方が通用しなくなったため、すべてのアクセスを信用できないものと考える、いま注目されているセキュリティの考え方です。
具体的には「誰が(ID)」「何のデバイスで」「どこから(ロケーション)」「何に(リソース)」アクセスしようとしているのか、その都度、確認して内外の脅威に備えます。つまりQ3の正解は「イ」となります。
高度化、複雑化する
サイバー攻撃の手口をキャッチアップ
いまやITは、すべての人が使うツール。今回、アサヒグループホールディングスやアスクルがサイバー攻撃を受けた経緯などを見ても、情報セキュリティの専門家がどれだけ技術面でサイバー攻撃予防に尽力したところで、情報システムを利用するユーザー側が運用面で不適切な対応をしてしまうのではセキュリティの確保に限界があることは明白です。
ITの技術者や専門家だけでなく、ITを使うすべての人が予防の知識を持つことが求められています。
そもそも、企業がサイバー攻撃の被害にあったという事例の原因としては、その企業のIT技術者がセキュリティの穴を見落としていたというよりも、ユーザーのパスワード管理や認証操作に関する不適切な運用をきっかけに不正アクセスの突破口とされ、ネットワーク内部に不正に侵入されるというケースが多いと言われています。
あなたのまわりでも、最近、知り合いがSNSアカウントの乗っ取りにあったという話をよく聞きませんか? 私の身近にも、SNSの投稿の様子がおかしいと思っていたら実は乗っ取りにあっていたという友人がいました。乗っ取られた経緯を聞くと、知り合いのなりすましアカウントから巧みに誘導されて自身のアカウントも連鎖的に乗っ取られてしまったのだそうです。
つまり誰でも、不正アクセス行為の踏み台として利用され、サイバー犯罪を広げる手助けをしてしまう可能性があるのです。ちなみにその友人のケースでは、「二段階認証」の設定をしていなかった点にもセキュリティ上の穴がありました。
サイバー攻撃の手口は、AIの登場も手伝って、日々高度化、複雑化しています。どんな手口が登場しているのか、またどんな新しい攻撃方法が生まれているのか、最新の動向をキャッチアップしておいて損はありません。
というよりも、ユーザー一人ひとりが基本的なセキュリティ知識を備え、適切な対策をとっておくこと自体が、組織や社会全体のセキュリティ強度を高めることにつながると言っても過言ではありません。
「サイバー攻撃で狙われるのは大企業だけだろう」と楽観視することなく、すべての人に身につけておいてほしい情報セキュリティの知識。それを体系的に学ぶきっかけのひとつとして、情報セキュリティマネジメント試験をぜひ多くの人に活用していただきたいですね。
【過去問の答え】
- エ
- エ
- イ
鈴木秀明(すずき・ひであき) 1981年生まれ。総合情報サイト「All About」資格ガイド。東京大学理学部卒。東京大学公共政策大学院修了。年間80個ペースで資格試験を受験し、米国公認会計士、気象予報士、中小企業診断士など1000を超える資格を取得。雑誌・テレビ・ラジオなどのメディア出演実績は500件以上。著書に『効率よく短期集中で覚えられる 7日間勉強法』(ダイヤモンド社)など。
この記事はNTTドコモビジネスとNewsPicksが共同で運営するメディアサービスNewsPicks +dより転載しております。
取材・文:福光恵
編集:鈴木毅(POWER NEWS)
デザイン:山口言悟(Gengo Design Studio)
タイトルバナー:gettyimages
