この記事の要点

ITセキュリティ とは、情報資産（システム / データ / 人）を機密性・完全性・可用性（CIA）の観点から守る取り組み 主な脅威: マルウェア（ウイルス / ランサムウェア）、不正アクセス、フィッシング、内部不正、サプライチェーン攻撃 代表的な対策レイヤ: 境界（ファイアウォール / IDS / IPS）、端末（EDR / アンチウイルス）、ネットワーク（VPN / TLS）、ID 管理（MFA / 最小権限） ベストプラクティス: 多要素認証（MFA）、最小権限の原則、定期パッチ、定期バックアップ（3-2-1 ルール）、ログ監査 組織的対策: セキュリティポリシー策定、CSIRT 設置、社員教育、インシデント対応訓練

ITセキュリティとは

ITセキュリティとは、情報技術を用いて情報資産を守るための手段やプロセス全般を指します。守る対象はコンピュータ、ネットワーク、アプリケーション、データ、そしてそれを扱う人（ユーザー）まで広く含みます。

セキュリティの 3 要素（CIA）

セキュリティ施策は次の 3 つの観点（CIA トライアド）で整理されます。

要素	意味	主な対策
機密性 (Confidentiality)	許可された者だけが情報にアクセスできる	暗号化、アクセス制御、MFA
完全性 (Integrity)	情報が改ざんされず正確である	ハッシュ、デジタル署名、監査ログ
可用性 (Availability)	必要なときに情報やシステムが利用できる	冗長化、バックアップ、DDoS 対策

主な脅威

1. マルウェア

• ウイルス / ワーム: 自己複製して感染を広げる
• トロイの木馬: 有用なソフトに偽装して侵入
• ランサムウェア: データを暗号化して身代金を要求
• スパイウェア / キーロガー: 入力情報を盗む

2. ネットワーク攻撃

• 不正アクセス: 認証を破ってシステムに侵入
• DoS / DDoS: 大量リクエストでサービスを停止させる
• 中間者攻撃 (MITM): 通信経路に割り込んで盗聴・改ざん
• SQL インジェクション / XSS: Web アプリの脆弱性を突く

3. ソーシャルエンジニアリング

• フィッシング: 偽サイトで認証情報を窃取
• ビジネスメール詐欺 (BEC): 取引先を装って送金を指示
• 標的型攻撃: 特定組織に絞った巧妙な攻撃

4. 内部脅威 / サプライチェーン

• 内部不正: 退職者や悪意ある社員による情報持ち出し
• サプライチェーン攻撃: 外部ライブラリや委託先経由で侵入

代表的な対策

レイヤ	対策技術	目的
境界	ファイアウォール / WAF	不要な通信を遮断、Web 攻撃を防御
境界	IDS / IPS	侵入の検知 / 防御
ネットワーク	VPN / TLS	通信の暗号化
端末	アンチウイルス / EDR	マルウェア検知 / 端末挙動の可視化
ID 管理	MFA / SSO / 最小権限	認証の強化と権限の絞り込み
データ	暗号化 / DLP	保存・転送時の保護、情報漏えい防止
運用	SIEM / ログ監査	異常検知とインシデント追跡
復旧	バックアップ / DR	事業継続性の確保

ベストプラクティス

• 多要素認証（MFA）の有効化: パスワード単体は突破されるリスクが高い。SMS よりも認証アプリ / ハードウェアキー
• 最小権限の原則: ユーザーに必要最小限の権限だけを付与
• 定期的なパッチ適用: OS / ミドルウェア / ライブラリの脆弱性を放置しない
• バックアップは 3-2-1 ルール: 3 つのコピー、2 種類の媒体、1 つはオフサイト
• ログの収集と監査: 異常検知の起点。SIEM への集約推奨
• パスワードマネージャの利用: 使い回しを防ぐ最大の特効薬
• セキュリティ教育: 標的型メール訓練、年次研修などで意識を維持

関連法規・フレームワーク

名称	概要
個人情報保護法	日本の個人情報の取扱いに関する法律
GDPR	EU の一般データ保護規則
ISMS / ISO 27001	情報セキュリティマネジメントシステムの国際規格
NIST CSF	米 NIST のサイバーセキュリティフレームワーク
PCI DSS	クレジットカード業界のセキュリティ基準

まとめ

• ITセキュリティは CIA トライアド（機密性・完全性・可用性）で整理する
• 脅威はマルウェア / 攻撃 / ソーシャル / 内部不正と多岐にわたる
• 対策は境界・端末・ネットワーク・ID・データ・運用・復旧の各層で多層防御を組む
• 技術対策だけでなく、ポリシー策定・教育・訓練といった組織的対策も同じくらい重要