守るべき対象と優先順位
サイバーセキュリティの目的は、情報資産だけでなく業務の継続そのものを守ることにある。機密性・完全性・可用性(CIA)をバランスさせつつ、停止すると影響が大きい基幹系や認証基盤、対外公開サービスから優先して設計するのが実務的である。
技術対策に偏ると「守れているつもり」になりやすい。情シスは資産の棚卸し、権限設計、運用手順まで含めて、事故時に被害を最小化できる状態を整える必要がある。
主要脅威の傾向と侵入起点
近年の侵害は複数手口の組み合わせが前提であり、起点はアカウント窃取と脆弱性悪用が中心である。フィッシングは正規画面の模倣が高度化し、MFAのワンタイムコードまで奪うケースもある。盗まれた認証情報はリスト型攻撃やSaaSへの不正ログインに直結する。
ランサムウェアは暗号化に加えて情報窃取と公開をちらつかせる二重脅迫が主流だ。さらにVPN機器やクラウド設定不備、委託先を起点としたサプライチェーン侵害、内部不正・設定ミスによる漏えいも現実的なリスクとなる。
攻撃フェーズ理解と多層防御
攻撃は概ね「偵察→侵入→権限拡大→横展開→窃取・破壊・暗号化」の段階で進む。どこか1段でも止められれば被害規模は大きく下がるため、多層防御で各段階に対策を配置することが重要である。
例えば、認証強化で侵入を減らし、最小権限と特権分離で権限拡大を抑え、ネットワーク分離や監視で横展開を検知する。最後に復旧可能なバックアップで業務停止を短縮する、という設計が基本となる。
情シスが整備すべき基礎対策セット
第一にMFA必須化とID棚卸し、特権IDの最小化・分離を徹底する。第二に資産管理とパッチ管理で「何がどの状態か」を可視化し、緊急性の高い脆弱性は先延ばししない運用にする。第三にバックアップは世代管理、権限分離、オフライン保管に加え、RTO/RPOを定義して復旧訓練まで行う。
加えて、認証ログや管理操作ログ、EDR等のアラートを収集・相関し、初動の連絡網、隔離手順、証跡保全、対外対応判断を事前に決めておくべきである。教育は「開いてしまったら報告できる」文化と手順化が効果を左右する。