コンピュータセキュリティ

物理的なセキュリティ対策の例: ハードウェアの改ざんを防ぐためにパソコンの背面に金属製のロックを取り付ける。

コンピュータセキュリティサイバーセキュリティデジタルセキュリティ情報技術ITセキュリティとも呼ばれる)は、情報セキュリティ分野における専門分野の一つです。コンピュータソフトウェアシステムネットワークを、不正な情報漏洩、盗難、ハードウェアソフトウェアデータの損傷、さらにはそれらが提供するサービスの妨害や誤誘導につながる脅威から保護することに重点を置いています。[ 1 ] [ 2 ]

コンピュータセキュリティの深刻化は、コンピュータシステムインターネット[ 3 ]、そして進化する無線ネットワーク規格への依存度の高まりを反映しています。この依存度は、スマートフォンテレビ、その他のモノのインターネット(IoT) コンポーネントを含むスマートデバイスの普及とともに高まっています。

デジタルインフラが日常生活に深く浸透するにつれ、サイバーセキュリティは重大な懸念事項として浮上しています。現代の情報システム、そしてそれらを支える社会機能の複雑さは、新たな脆弱性を生み出しています。電力網選挙プロセス金融といった重要なサービスを管理するシステムは、セキュリティ侵害に対して特に脆弱です。[ 4 ] [ 5 ]

コンピュータセキュリティの多くの側面には、電子パスワード暗号化といったデジタルセキュリティが関わっていますが、金属製の錠前などの物理的なセキュリティ対策も、不正な改ざんを防ぐために依然として使用されています。ITセキュリティは情報セキュリティの完全なサブセットではないため、セキュリティコンバージェンススキーマと完全には一致しません。

脆弱性と攻撃

脆弱性とは、コンピュータまたはシステムの構造、実行、機能、または内部監視における欠陥を指し、セキュリティを侵害します。発見された脆弱性のほとんどは、共通脆弱性識別子(CVE)データベースに登録されています。[ 6 ]悪用可能な脆弱性とは、少なくとも1つの有効な攻撃またはエクスプロイトが存在する脆弱性のことです。[ 7 ]悪意を持って脆弱性を探す行為者は脅威と呼ばれます。脆弱性は、自動化ツールやカスタマイズされたスクリプトを使用して、調査、リバースエンジニアリング、ハンティング、または悪用される可能性があります。[ 8 ] [ 9 ]

サイバー攻撃に対しては様々な個人や団体が脆弱であるが、異なるグループが他のグループよりも異なる種類の攻撃を受ける可能性が高い。[ 10 ]

2023年4月、英国科学技術イノベーション省は過去12か月間のサイバー攻撃に関する報告書を発表した。[ 11 ]同省は、英国企業2,263社、英国登録慈善団体1,174団体、教育機関554機関を対象に調査を行った。調査によると、「企業の32%と慈善団体全体の24%が、過去12か月間に発生した侵害や攻撃を覚えている」という。これらの数字は、「中規模企業(59%)、大規模企業(69%)、年間収入50万ポンド以上の高収入慈善団体(56%)」でははるかに高かった。[ 11 ]しかし、中規模企業や大規模企業が被害に遭うことが多いものの、大企業は過去10年間で概ねセキュリティを強化してきたため、中小企業も「ビジネスを守るための高度なツールを持っていない」ことが多いため、ますます脆弱になっている。[ 10 ]中小企業はマルウェア、ランサムウェア、フィッシング、中間者攻撃、サービス拒否(DoS)攻撃の影響を受ける可能性が最も高い。[ 10 ]

非標的型サイバー攻撃の被害に遭う可能性が最も高いのは、一般のインターネットユーザーです。[ 12 ]これは、攻撃者が可能な限り多くのデバイス、サービス、またはユーザーを無差別に標的とする攻撃です。彼らはインターネットのオープン性を悪用した手法を用いてこれを行います。これらの戦略には、主にフィッシングランサムウェアウォーターホール、スキャンなどが含まれます。[ 12 ]

コンピュータ システムを保護するには、コンピュータ システムに対して行われる可能性のある攻撃を理解することが重要です。これらの脅威は通常、次のいずれかのカテゴリに分類できます。

裏口

コンピュータシステム、暗号システム、またはアルゴリズムにおけるバックドアとは、通常の認証やセキュリティ制御を回避するための秘密の方法を指します。これらの脆弱性は、元々の設計や不適切な設定など、様々な理由で存在する可能性があります。[ 13 ]バックドアの性質上、個人よりも企業やデータベースにとって大きな懸念事項となります。

バックドアは、正当なアクセスを許可するために権限のある当事者によって追加される場合もあれば、悪意のある攻撃者によって追加される場合もあります。犯罪者はマルウェアを用いてバックドアをインストールし、システムへのリモート管理アクセスを取得することがよくあります。[ 14 ]一度アクセスできるようになると、サイバー犯罪者は「ファイルの改ざん、個人情報の盗難、不要なソフトウェアのインストール、さらにはコンピュータ全体の制御権の奪取」さえも行うことができます。[ 14 ]

バックドアは、コンピューターの オペレーティング システムに関する詳細な情報を含むソース コードまたはシステム ファームウェア内に隠れていることが多いため、検出が困難な場合があります。

サービス拒否攻撃

サービス拒否攻撃(DoS)は、マシンまたはネットワークリソースを、その対象ユーザーが利用できないようにすることを目的としています。[ 15 ]攻撃者は、例えば、故意に間違ったパスワードを連続して入力してアカウントをロックするなど、個々の被害者へのサービスを拒否したり、マシンまたはネットワークの機能を過負荷にしてすべてのユーザーを一度にブロックしたりすることができます。単一のIPアドレスからのネットワーク攻撃は、新しいファイアウォールルールを追加することでブロックできますが、多数のポイントから攻撃が行われる分散型サービス拒否(DDoS)攻撃も考えられます。この場合、これらの攻撃に対する防御ははるかに困難です。このような攻撃は、ボットネットゾンビコンピュータから発生する場合もあれば、分散型リフレクション型サービス拒否(DRDoS)など、他の様々な手法から発生する場合もあります。DRDoS攻撃では、無実のシステムが騙されて被害者にトラフィックを送信します。[ 15 ]このような攻撃では、増幅係数によって攻撃者自身が使用する帯域幅が小さくなるため、攻撃が容易になります。攻撃者がなぜこのような攻撃を実行するのかを理解するには、「攻撃者の動機」セクションを参照してください。

物理的アクセス攻撃

直接アクセス攻撃とは、権限のないユーザー(攻撃者)がコンピュータに物理的にアクセスし、直接データをコピーしたり情報を盗んだりすることです。[ 16 ]攻撃者は、オペレーティングシステムの改変、ソフトウェアワームのインストール、キーロガー隠れた盗聴装置、ワイヤレスマイクの使用などによってもセキュリティを侵害する可能性があります。システムが標準的なセキュリティ対策で保護されている場合でも、CD -ROMなどの起動可能なメディアから別のオペレーティングシステムやツールを起動することで、これらの対策を回避できる可能性があります。ディスク暗号化Trusted Platform Module( TPM)規格は、これらの攻撃を防ぐために設計されています。

ダイレクトサービス攻撃は、攻撃者がコンピュータのメモリに直接アクセスできるダイレクトメモリ攻撃と概念的に関連しています。 [ 17 ]この攻撃は、「外付けハードドライブ、グラフィックカード、ネットワークカードなどの特定のデバイスがコンピュータのメモリに直接アクセスできる、最新のコンピュータの機能を利用します。」[ 17 ]

盗聴

盗聴とは、通常はネットワーク上のホスト間で行われるプライベートなコンピュータ会話(通信)を密かに盗聴する行為です。これは通常、トラフィックが保護または暗号化されていないネットワークにユーザーが接続し、機密性の高い業務データを同僚に送信する際に発生します。攻撃者がそのデータを盗聴した場合、悪用される可能性があります。[ 18 ]オープンネットワークを介して送信されるデータは、攻撃者が脆弱性を悪用し、様々な方法で傍受することを可能にします。

マルウェア、直接アクセス攻撃、その他のサイバー攻撃とは異なり、盗聴攻撃はネットワークやデバイスのパフォーマンスに悪影響を与える可能性は低く、検知が困難です。 [ 18 ]実際、「攻撃者はソフトウェアに常時接続する必要はありません。攻撃者は、直接挿入、ウイルス、その他のマルウェアなどによって、侵害されたデバイスにソフトウェアを挿入し、しばらくしてから戻ってきて、見つかったデータを取得したり、ソフトウェアを起動して特定の時間にデータを送信させたりすることができます。」[ 19 ]

2点間のデータを暗号化する仮想プライベートネットワーク(VPN)の使用は、盗聴防止のための最も一般的な方法の一つです。ワイヤレスネットワークでは、可能な限り最高の暗号化方式を使用することがベストプラクティスであり、暗号化されていないHTTPではなくHTTPSを使用することも重要です。[ 20 ]

CarnivoreNarusInSightといったプログラムは、連邦捜査局(FBI)やNSA(米国国家安全保障局)によってインターネットサービスプロバイダのシステムの盗聴に使用されてきました。たとえ閉鎖システム(つまり、外部との接触がない)として動作するマシンであっても、ハードウェアから発せられる微弱な電磁波を監視することで盗聴される可能性があります。TEMPEST、NSAがこれらの攻撃について定めた仕様です。

マルウェア

悪意のあるソフトウェア(マルウェア)とは、「コンピュータシステムまたはそのユーザーに危害を加えるために意図的に作成された」ソフトウェアコードまたはコンピュータプログラムです。[ 21 ]コンピュータに侵入すると、個人情報、ビジネス情報、パスワードなどの機密情報が漏洩したり、システムを攻撃者に制御させたり、データを永久に破壊または削除したりする可能性があります。[ 22 ] [ 23 ]

マルウェアの種類

  • ウイルスはマルウェアの一種であり、通常はソフトウェアを乗っ取り、「損害を与え、自身のコピーを拡散する」という意図を持つ悪意のあるコードです。コピーは、コンピュータ上の他のプログラムに拡散することを目的として作成されます。 [ 21 ]
  • ワームはウイルスに似ていますが、ウイルスはユーザーが感染したプログラムを実行(開く)した場合にのみ機能します。ワームは自己複製型のマルウェアであり、人間の介入なしにプログラム、アプリ、デバイス間で拡散します。 [ 21 ]
  • トロイの木馬は、役に立つふりをしたり、望ましいソフトウェアや正規のソフトウェアの中に潜んでユーザーを騙してインストールさせようとするプログラムです。RAT(リモートアクセス型トロイの木馬)がインストールされると、感染したデバイスに秘密のバックドアを作成し、被害を与える可能性があります。 [ 21 ]
  • スパイウェアは、感染したコンピュータから密かに情報を収集し、その機密情報を攻撃者に送信するマルウェアの一種です。最も一般的なスパイウェアの一つはキーロガーで、ユーザーのキーボード入力やキーストロークをすべて記録し、「ハッカーがユーザー名、パスワード、銀行口座番号、クレジットカード番号を収集できるようにします。」 [ 21 ]
  • スケアウェアは、その名の通り、ソーシャルエンジニアリング(操作)を用いてユーザーを恐怖させ、ショックを与え不安を煽り、脅威を植え付けることで、不要なソフトウェアを購入させたりインストールさせたりするマルウェアの一種です。これらの攻撃は、多くの場合、「緊急メッセージを含む突然のポップアップで始まり、通常はユーザーに法律違反やデバイスウイルスの警告を発します。」 [ 21 ]
  • ランサムウェアとは、マルウェアが被害者のマシンにインストールされ、ファイルを暗号化した後、そのデータをユーザーに返す代わりに身代金(通常はビットコイン)を要求するものです。

中間者攻撃

中間者攻撃(MITM)は、悪意のある攻撃者が一方または両方の当事者の身元を偽装し、間に介入することで、二者間の通信を傍受、監視、または変更しようとする攻撃です。[ 24 ] MITM攻撃の種類には以下が含まれます。

  • IP アドレスのスプーフィングは、攻撃者がルーティング プロトコルを乗っ取り、ターゲットのトラフィックを脆弱なネットワーク ノードに再ルーティングして、トラフィックの傍受または挿入を行うものです。
  • メッセージスプーフィング(メール、SMS、またはOTTメッセージング経由)とは、攻撃者が標的のユーザー(メール、SMS、またはOTT(IPベース)メッセージングアプリなどのメッセージングプロトコルを使用している間に、IDまたはキャリアサービスを偽装する行為です。これにより、攻撃者は会話を監視したり、ソーシャル攻撃を仕掛けたり、ゼロデイ脆弱性を悪用してさらなる攻撃を可能にします。
  • Wi-Fi SSIDスプーフィングとは、攻撃者がWi-Fi基地局のSSIDを模倣し、インターネットトラフィックやトランザクションを捕捉・改ざんする行為です。また、ローカルネットワークアドレスやネットワーク防御の弱体化を利用して、既知の脆弱性を突いて標的のファイアウォールを突破することもあります。人気のデバイスにちなんで、パイナップル攻撃と呼ばれることもあります。「悪意のある関連付け」も参照してください。
  • DNS スプーフィングとは、攻撃者がドメイン名の割り当てを乗っ取り、トラフィックを監視したり他の攻撃を開始したりするために、攻撃者が制御するシステムにトラフィックをリダイレクトする行為です。
  • SSLハイジャックは、通常、他のメディアレベルの中間者攻撃(MITM)と組み合わされ、攻撃者が認証局インジェクションによってSSL認証と暗号化プロトコルを偽装し、トラフィックの復号、監視、改ざんを行うものです。TLSインターセプションも参照してください[ 24 ]

マルチベクトル、ポリモーフィック攻撃

2017年に出現した新しい種類のマルチベクトル[ 25 ]多形性[ 26 ]のサイバー脅威は、複数の種類の攻撃を組み合わせ、拡散するにつれてサイバーセキュリティ管理を回避するために形を変えます。

マルチベクトル型ポリモーフィック攻撃は、その名の通り、マルチベクトル化とポリモーフィック化の両方の特徴を持つ。[ 27 ]まず、複数の攻撃手法を用いる単一の攻撃である。この意味では、「マルチベクトル化」されている(つまり、攻撃はWeb、電子メール、アプリケーションなど、複数の伝播手段を利用できる)。しかし、多段階的であることも特徴であり、「ネットワークに侵入し、ネットワーク内を横方向に移動することができる」ことを意味する。[ 27 ]攻撃はポリモーフィック化される可能性があり、ウイルス、ワーム、トロイの木馬などのサイバー攻撃は「常に変化(「変形」)するため、シグネチャベースの防御では検出がほぼ不可能になる」ことを意味する。[ 27 ]

フィッシング

架空の銀行からの公式メールを装ったフィッシングメールの例。送信者は、受信者を騙してフィッシャーのウェブサイトで確認させ、機密情報を開示させようとしています。 「received」と「 discrepancy」のスペルミスがそれぞれ「received」と「discrep e ncy」となっていることに注目してください。銀行のウェブページのURLは正規のものに見えますがハイパーリンクはフィッシャーウェブページを指しています。

フィッシングとは、ユーザーを欺き、ユーザー名、パスワード、クレジットカード情報などの機密情報を直接取得しようとする行為です。[ 28 ]フィッシングは通常、なりすましメールインスタントメッセージテキストメッセージ、または電話によって実行されます。多くの場合、ユーザーは偽のウェブサイトに誘導され、そのウェブサイトの見た目や操作性は正規のウェブサイトとほぼ同じです。[ 29 ]偽のウェブサイトは、ログイン情報やパスワードなどの個人情報を要求することがよくあります。これらの情報は、正規のウェブサイトにあるユーザーのアカウントへのアクセスに利用されます。

フィッシングは、被害者の信頼を悪用するソーシャルエンジニアリングの一種に分類されます。攻撃者は独創的な方法で実際のアカウントにアクセスします。よくある詐欺としては、攻撃者が偽の電子請求書[ 30 ]を個人に送信し、最近音楽やアプリなどを購入したことを示すとともに、購入が承認されていない場合はリンクをクリックするように指示するというものがあります。より戦略的なタイプのフィッシングはスピアフィッシングで、個人または組織固有の詳細情報を利用して、攻撃者が信頼できる情報源であるように見せかけます。スピアフィッシング攻撃は、フィッシング攻撃の広範な網ではなく、特定の個人を標的とします。[ 31 ]

権限昇格

権限昇格とは、ある程度のアクセス制限を持つ攻撃者が、許可なく権限またはアクセスレベルを昇格できる状況を指します。[ 32 ]例えば、一般的なコンピュータユーザーは、システムの脆弱性を悪用して制限されたデータにアクセスしたり、ルート権限を取得してシステムに完全に無制限にアクセスしたりできる可能性があります。攻撃の深刻度は、単に迷惑メールを送信するだけの攻撃から、大量のデータに対するランサムウェア攻撃まで多岐にわたります。権限昇格は通常、ソーシャルエンジニアリングの手法、特にフィッシングから始まります。[ 32 ]

権限昇格は、水平権限昇格と垂直権限昇格の 2 つの戦略に分けられます。

  • 水平エスカレーション(またはアカウント乗っ取り)とは、攻撃者が比較的低い権限を持つ通常のユーザーアカウントへのアクセスを取得することです。これは、ユーザーのユーザー名とパスワードを盗むことによって行われる場合があります。アクセスに成功すると、攻撃者は足場を築き、この足場を利用して、同じ低い権限を持つユーザーのネットワーク内を移動し、同様の権限を持つ情報にアクセスできるようになります。[ 32 ]
  • 一方、垂直エスカレーションは、企業内の上位者、特に高い権限を持つIT部門の従業員など、より高度な管理権限を持つ人物を標的とします。攻撃者は、この特権アカウントを利用することで、他のアカウントへの侵入が可能になります。[ 32 ]

サイドチャネル攻撃

あらゆる計算システムは、何らかの形で環境に影響を与えます。環境への影響は、電磁放射から、RAMセルへの残留効果(結果としてコールドブート攻撃を可能にする)、ハードウェア実装の欠陥による本来アクセスできないはずの値へのアクセスや推測まで、多岐にわたります。サイドチャネル攻撃のシナリオでは、攻撃者はシステムやネットワークに関するこのような情報を収集し、その内部状態を推測することで、被害者が安全だと想定している情報にアクセスします。サイドチャネルに含まれる標的情報は、他の信号と組み合わせると振幅が小さいため、検出が困難な場合があります[ 33 ]。

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、コンピュータセキュリティの分野において、例えば上級管理職、銀行員、請負業者、顧客などになりすまして、ユーザーにパスワードやカード番号などの秘密を漏らさせたり、物理的なアクセスを許可させたりすることを目的とした手法です。[ 34 ]これは通常、人々の信頼を悪用し、認知バイアスを利用するものです。よくある詐欺の例としては、経理・財務部門の担当者にCEOになりすまして緊急に何らかの対応を要求するメールを送信するものがあります。ソーシャルエンジニアリングの主な手法の一つはフィッシング攻撃です。

2016年初頭、FBIは、このようなビジネスメール詐欺(BEC)詐欺により、米国企業は約2年間で20億ドル以上の損害を被ったと報告しました。[ 35 ]

2016年5月、NBAのミルウォーキー・バック スチームがこの種のサイバー詐欺の被害に遭い、犯人はチームの社長ピーター・フェイギンになりすまし、チームの全従業員の2015年度のW-2納税申告書が漏洩した。[ 36 ]

なりすまし

スプーフィングとは、IPアドレスやユーザー名などのデータを偽装し、正当な組織を装って、本来はアクセスできない情報やリソースにアクセスする行為です。スプーフィングはフィッシングと密接な関連があります。[ 37 ] [ 38 ]スプーフィングには、以下を含むいくつかの種類があります。

2018年、サイバーセキュリティ企業Trellixは、医療業界におけるなりすましの生命を脅かすリスクに関する調査を発表しました。[ 40 ]

改ざん

改ざんとは、データの悪意ある変更または改変を指します。これは、意図的ではあるが許可されていない行為であり、システム、システムのコンポーネント、その意図された動作、またはデータの変更をもたらします。いわゆるEvil Maid攻撃や、セキュリティサービスがルーターに監視機能を埋め込む行為などがその例です。[ 41 ]

HTML密輸

HTMLスマグリングは、攻撃者が特定のHTMLまたはウェブページ内に悪意のあるコードを忍び込ませることを可能にします。 [ 42 ] HTMLファイルは、コンテンツフィルターを回避するために、無害で不活性なデータに隠されたペイロードを運ぶことができます。これらのペイロードは、フィルターの反対側で再構築することができます。[ 43 ]

標的のユーザーがHTMLを開くと、悪意のあるコードが起動し、ウェブブラウザがスクリプトをデコードして、マルウェアを標的のデバイスに送り込みます。 [ 42 ]

情報セキュリティの実践

従業員の行動は、組織内の情報セキュリティに大きな影響を与える可能性があります。文化的な概念は、組織内の様々な部門が情報セキュリティの有効性を高めるのに役立つ場合もあれば、逆に阻害する場合もあります。情報セキュリティ文化とは、「あらゆる種類の情報の保護に貢献する、組織における行動パターンの総体」です。[ 44 ]

アンダーソンとライマーズ(2014)は、従業員が組織の情報セキュリティ活動に自らを関与させていないことが多く、組織の変化を妨げる行動をとることが多いことを発見しました。[ 45 ]実際、3,950件のセキュリティ侵害を調査したベライゾンのデータ漏洩調査報告書2020では、サイバーセキュリティインシデントの30%に社内関係者が関与していることが明らかになりました。[ 46 ]調査によると、情報セキュリティ文化は継続的に改善する必要があることが示されています。「分析から変革への情報セキュリティ文化」の中で、著者らは「これは終わりのないプロセスであり、評価と変革または維持のサイクルである」と述べています。情報セキュリティ文化を管理するには、事前評価、戦略計画、運用計画、実装、事後評価という5つのステップを踏む必要があります。[ 47 ]

  • 事前評価: 従業員の情報セキュリティに対する意識を把握し、現在のセキュリティ ポリシーを分析します。
  • 戦略的計画:より良い意識啓発プログラムを構築するには、明確な目標を設定する必要があります。その達成には、熟練した専門家チームを編成することが効果的です。
  • 運用計画:社内コミュニケーション、経営陣の賛同、セキュリティ意識、トレーニングプログラムに基づいて、優れたセキュリティ文化を確立することができます。[ 47 ]
  • 実装:情報セキュリティ文化を実装するには、以下の4つの段階を踏む必要があります。
  1. 経営陣のコミットメント
  2. 組織メンバーとのコミュニケーション
  3. 組織メンバー全員向けのコース
  4. 従業員のコミットメント[ 47 ]
  • 事後評価: 計画と実装の成功を評価し、未解決の懸念事項を特定します。

コンピュータ保護(対策)

コンピュータセキュリティにおいて、対策とは、脅威、脆弱性、または攻撃を排除または防止したり、それがもたらす損害を最小限に抑えたり、脅威、脆弱性、または攻撃を発見して報告し、是正措置を講じることによって、脅威、脆弱性、または攻撃を軽減するための措置、デバイス、手順、または技術です。[ 48 ] [ 49 ] [ 50 ]

一般的な対策を次のセクションに示します。

設計によるセキュリティ

セキュリティ・バイ・デザイン(またはセキュア・バイ・デザイン)とは、ソフトウェアが最初からセキュリティを考慮して設計されていることを意味します。この場合、セキュリティは主要な機能とみなされます。

英国政府の国家サイバーセキュリティセンターは、安全なサイバー設計の原則を5つのセクションに分けています。[ 51 ]

  1. 安全なシステムを作成または更新する前に、企業は、作成しようとしているシステムの基礎とコンテキストを理解し、システムの弱点を特定する必要があります。
  2. 企業は、攻撃者がデータやシステムを攻撃することを本質的に困難にする技術と防御策を中心にセキュリティを設計する必要があります。
  3. 企業は、システムが実質的にダウンすることがないよう、テクノロジーに依存するコア サービスが保護されていることを確認する必要があります。
  4. 多様な攻撃に対して安全なシステムを構築できたとしても、攻撃が全く行われないということではありません。個々のセキュリティ対策に関わらず、すべての企業のシステムは、攻撃が発生した際に速やかに検知・特定し、最も効果的な対応が取れるようにすることを目指すべきです。
  5. 企業は、攻撃が成功しても被害が最小限に抑えられるよう設​​計された安全なシステムを構築する必要があります。

設計によるセキュリティの設計原則には、次のような手法が含まれます。

  • 最小権限の原則。システムの各部分には、その機能に必要な権限のみを付与します。これにより、攻撃者がその部分にアクセスできたとしても、システム全体へのアクセスは限定的なものにとどまります。
  • 重要なソフトウェア サブシステムの正しさを証明するための自動定理証明。
  • コードレビューユニットテストは、正式な正しさの証明が不可能な場合にモジュールをより安全にするためのアプローチです。
  • 多層防御。システムの整合性とシステムに保存されている情報を危険にさらすには、複数のサブシステムを侵害する必要があるような設計です。
  • デフォルトのセキュア設定、そしてフェイルセキュアな設計(安全工学における同等の用語についてはフェイルセーフ参照)。理想的には、セキュアなシステムを非セキュアにするためには、正当な権限を持つ機関による意図的、意識的、かつ知識に基づいた自由な決定が必要となるべきである。
  • 監査証跡はシステムアクティビティを追跡することで、セキュリティ侵害が発生した場合に、そのメカニズムと範囲を特定できるようにします。監査証跡をリモートで保存し、追加のみ可能にすることで、侵入者が痕跡を隠蔽するのを防ぐことができます。
  • すべての脆弱性を完全に開示し、バグが発見されたときに脆弱性の期間が可能な限り短くなるようにする。

セキュリティアーキテクチャ

セキュリティアーキテクチャは、「セキュリティ目標を達成するためにコンピュータシステムを設計する実践」と定義できます。[ 52 ]これらの目標は、前述の「設計によるセキュリティ」の原則と重なり合っており、「システムへの初期の侵入を困難にする」ことや「侵入の影響を制限する」ことなどが含まれます。[ 52 ]実際には、セキュリティアーキテクトの役割は、システムの構造がシステムのセキュリティを強化し、新しい変更が安全であり、組織のセキュリティ要件を満たしていることを確認することです。[ 53 ] [ 54 ]

同様に、Techopediaはセキュリティアーキテクチャを「特定のシナリオや環境における必要性と潜在的なリスクに対処する統合的なセキュリティ設計。また、セキュリティ制御をいつ、どこで適用するかも規定する。設計プロセスは一般的に再現可能である」と定義している。セキュリティアーキテクチャの主な属性は以下の通りである。[ 55 ]

  • さまざまなコンポーネントの関係とそれらが相互にどのように依存しているか。
  • リスク評価、優れた実践、財務、法的事項に基づいた管理の決定。
  • 制御の標準化。

セキュリティ アーキテクチャを実践することで、組織内のビジネス、IT、セキュリティ上の懸念に体系的に対処するための適切な基盤が提供されます。

セキュリティ対策

コンピュータセキュリティの状態とは、脅威の防止、検知、対応という3つのプロセスによって達成される概念的な理想です。これらのプロセスは、以下のような様々なポリシーとシステムコンポーネントに基づいています。

  • ユーザー アカウントアクセス制御暗号化を使用して個人のアクセスを制限すると、それぞれシステム ファイルとデータを保護できます。
  • ファイアウォールは、ネットワークセキュリティの観点から、最も一般的な防御システムです。適切に設定されていれば、内部ネットワークサービスへのアクセスを遮断し、パケットフィルタリングによって特定の種類の攻撃をブロックできます。ファイアウォールには、ハードウェアベースとソフトウェアベースの両方があります。ファイアウォールは、コンピュータネットワークの送受信トラフィックを監視・制御し、信頼できるネットワークと信頼できないネットワークの間に障壁を構築します。[ 56 ]
  • 侵入検知システム(IDS) 製品は、進行中のネットワーク攻撃を検出し、攻撃後のフォレンジックを支援するように設計されています。一方、監査証跡ログは、個々のシステムに対して同様の機能を果たします。
  • 対応は、個々のシステムのセキュリティ要件に基づいて決定され、単純な保護機能の強化から、執行機関への通知、反撃などまで、多岐にわたります。また、侵害されたリソースがすべて検出されない場合もあるため、特殊なケースでは、侵害されたシステムを完全に破壊することが推奨されます。
  • サイバー脅威や攻撃に対処するためのサイバーセキュリティ意識向上トレーニング。[ 57 ]
  • フォワード Webプロキシソリューションは、クライアントが悪意のある Web ページにアクセスするのを防ぎ、クライアント マシンにダウンロードする前にコンテンツを検査することができます。

今日、コンピュータセキュリティは主にファイアウォール終了手順などの予防措置で構成されています。ファイアウォールは、ホストまたはネットワークとインターネットなどの別のネットワークとの間のネットワークデータをフィルタリングする方法と定義できますファイアウォールは、マシン上で実行されるソフトウェアとして実装され、ネットワークスタックに接続して(または、 LinuxなどのほとんどのUNIXベースのオペレーティングシステムの場合は、オペレーティングシステムカーネルに組み込まれて)、リアルタイムのフィルタリングとブロックを提供します。[ 56 ]もう1つの実装は、ネットワークトラフィックをフィルタリングする別のマシンで構成される、いわゆる物理ファイアウォールです。ファイアウォールは、インターネットに永続的に接続されているマシン間では一般的です。

一部の組織では、Apache Hadoopなどのビッグデータプラットフォームを活用して、データアクセス性と機械学習を拡張し、高度な持続的脅威を検出しています。[ 58 ]

適切なセキュリティを確保するためには、ネットワークの機密性、完全性、可用性(CIAトライアドとしてよく知られています)を保護する必要があり、これらは情報セキュリティの基盤と考えられています。[ 59 ]これらの目的を達成するには、管理面、物理的、技術的なセキュリティ対策を講じる必要があります。資産に与えられるセキュリティの程度は、その価値が明らかになった場合にのみ決定できます。[ 60 ]

脆弱性管理

脆弱性管理とは、特にソフトウェアやファームウェアにおける脆弱性を特定、修正、または軽減するためのサイクルです。[ 61 ]脆弱性管理は、コンピュータセキュリティとネットワークセキュリティに不可欠です。

脆弱性は脆弱性スキャナによって発見できます。脆弱性スキャナは、開いているポート、安全でないソフトウェア構成、マルウェアへの脆弱性など、既知の脆弱性[ 62 ]を探してコンピュータシステムを解析します。これらのツールを効果的に使用するには、ベンダーがリリースする新しいアップデートごとに最新の状態にしておく必要があります。通常、これらのアップデートは最近導入された新しい脆弱性をスキャンします。

多くの組織は、脆弱性スキャンに加えて、外部のセキュリティ監査人に委託し、定期的にシステムの侵入テストを実施して脆弱性を特定しています。一部の業界では、これは契約上の要件となっています。[ 63 ]

脆弱性の軽減

サイバー攻撃に対する脆弱性を評価し、軽減する行為は、一般的に情報技術セキュリティ評価と呼ばれます。その目的は、システムのリスクを評価し、脆弱性を予測・テストすることです。コンピュータシステムの正当性の形式的検証は可能ですが、[ 64 ] [ 65 ]、まだ一般的ではありません。形式的に検証されたオペレーティングシステムには、seL4[ 66 ]SYSGOPikeOS [ 67 ] [ 68 ]などがありますが、これらは市場のごく一部を占めるに過ぎません。

セキュリティパッチやアップデートを適用してシステムを最新の状態に保ち、セキュリティの専門知識を持つ人材を雇用することで、攻撃者の攻撃機会を減らすことができます。深刻な脅威にさらされている大企業は、セキュリティオペレーションセンター(SOC)アナリストを雇用することができます。彼らはサイバー防御の専門家であり、「脅威分析の実施から新たな問題の報告の調査、災害復旧計画の策定とテストまで」幅広い役割を担います。[ 69 ]

攻撃を完全に防ぐことを保証する対策はありませんが、これらの対策は起こりうる攻撃による被害を軽減するのに役立ちます。また、データの損失や損傷の影響は、綿密なバックアップ保険によって軽減できます。

正式な評価以外にも、システムの強化など、脆弱性を軽減する様々な方法があります。[ 70 ]二要素認証は、システムや機密情報への不正アクセスを軽減するための方法です。[ 71 ]二要素認証では、ユーザーが知っている情報(パスワードまたはPIN)と、ユーザーが所有している情報(カード、ドングル、携帯電話、その他のハードウェア)が必要です。これにより、不正な人物がアクセスするにはこの両方が必要となるため、セキュリティが向上します。

ソーシャルエンジニアリング攻撃や直接的なコンピュータアクセス(物理的)攻撃からの保護は、コンピュータを介さない手段によってのみ可能であり、情報の機密性を考慮すると、その実施は困難です。こうしたリスクを軽減するためには、人々の自己防衛に関する知識を向上させ、脅威に対する意識を高めるためのトレーニングがしばしば必要となります。[ 72 ]しかし、高度に規律された環境(例えば軍事組織)であっても、ソーシャルエンジニアリング攻撃を予測し、防止することは依然として困難です。

予防接種理論に由来する予防接種は、類似の、あるいは関連した説得の試みにさらすことで、ソーシャルエンジニアリングやその他の詐欺的な策略や罠を防ぐことを目的としています。[ 73 ]

ハードウェア保護メカニズム

ハードウェアベースまたは支援型のコンピュータセキュリティは、ソフトウェアのみのコンピュータセキュリティの代替手段となります。ドングルトラステッドプラットフォームモジュール、侵入検知ケース、ドライブロック、USBポートの無効化、モバイル対応アクセスといったデバイスや方法を利用することで、侵入に物理的なアクセス(または高度なバックドアアクセス)が必要となるため、より安全であると考えられる場合があります。これらについては、以下でそれぞれ詳しく説明します。

  • USBドングルは、通常、ソフトウェアライセンス制度においてソフトウェアの機能をロック解除するために使用されますが[ 74 ]、コンピュータや他のデバイスのソフトウェアへの不正アクセスを防ぐ手段としても考えられます。ドングル(またはキー)は、基本的にソフトウェアアプリケーションとキーの間に安全な暗号化トンネルを作成します。その原理は、ドングル上のAdvanced Encryption Standard(AES)などの暗号化方式により、ドングルをハッキングして複製することが、ネイティブソフトウェアを別のマシンにコピーして使用するよりも困難であるため、より強力なセキュリティ対策が提供されるというものです。ドングルのもう1つのセキュリティ用途は、クラウドソフトウェアや仮想プライベートネットワーク(VPN)などのWebベースのコンテンツにアクセスするために使用することです。[ 75 ]さらに、USBドングルはコンピュータをロックまたはロック解除するように設定できます。[ 76 ]
  • トラステッド・プラットフォーム・モジュール(TPM)は、マイクロプロセッサ、いわゆるコンピュータ・オン・チップを用いて、アクセスデバイスに暗号化機能を統合することでデバイスのセキュリティを確保します。TPMはサーバー側ソフトウェアと連携して使用することで、ハードウェアデバイスの検出と認証を行い、不正なネットワークおよびデータアクセスを防止します。[ 77 ]
  • コンピュータケース侵入検知とは、コンピュータケースが開かれたことを検知するデバイス(通常は押しボタンスイッチ)を指します。ファームウェアまたはBIOSは、コンピュータの次回起動時にオペレーターに警告を表示するようにプログラムされています。
  • ドライブロックは、本質的にはハードドライブを暗号化し、窃盗犯がアクセスできないようにするソフトウェアツールです。[ 78 ]外付けドライブを暗号化するためのツールも存在します。[ 79 ]
  • USBポートを無効にすることは、本来安全なコンピュータへの不正アクセスや悪意のあるアクセスを防ぐためのセキュリティ対策です。ファイアウォールの内側にあるコンピュータからネットワークに接続された感染したUSBドングルは、Network World誌によって、コンピュータネットワークが直面する最も一般的なハードウェア脅威とされています。
  • 使用していない周辺機器(カメラ、GPS、リムーバブルストレージなど)を取り外すか無効にする。[ 80 ]
  • 携帯電話の普及に伴い、モバイル対応のアクセスデバイスの人気が高まっています。[ 81 ] Bluetooth、新しいBluetooth Low Energy(LE)、iOS以外のデバイスに搭載された近距離無線通信(NFC)、指紋リーダーなどの生体認証、モバイルデバイス向けに設計されたQRコードリーダーソフトウェアなど組み込み機能は、携帯電話をアクセス制御システムに接続するための新しい安全な方法を提供します。これらの制御システムはコンピュータセキュリティを提供し、また、セキュリティ保護された建物へのアクセス制御にも使用できます。[ 82 ]
  • IOMMUは、直接メモリアクセス保護を利用して、モバイルおよびデスクトップコンピュータのコンポーネントのハードウェアベースのサンドボックス化を可能にします。[ 83 ] [ 84 ]
  • 物理的に複製不可能な機能(PUF)は、集積回路やハードウェアのデジタル指紋または一意の識別子として使用することができ、ユーザーにシステムに組み込まれるハードウェアサプライチェーンのセキュリティ保護機能を提供します。[ 85 ] [ 86 ]

安全なオペレーティングシステム

コンピュータセキュリティという用語の用法の一つは、安全なオペレーティングシステムを実装するために使用される技術を指します。安全なオペレーティングシステムの使用は、コンピュータセキュリティを確保するための優れた方法です。これらは、外部のセキュリティ監査機関による認証を取得したシステムであり、最も一般的な評価はコモンクライテリア(CC)です。[ 87 ]

安全なコーディング

ソフトウェア工学において、セキュアコーディングは、セキュリティ上の脆弱性が偶発的に導入されることを防ぐことを目的としています。また、最初からセキュアになるように設計されたソフトウェアを開発することも可能です。このようなシステムは、設計段階からセキュアです。さらに、形式検証は、システムの基盤となるアルゴリズム正しさを証明することを目的としています。 [ 88 ]これは、例えば 暗号プロトコル において重要です。

機能とアクセス制御リスト

コンピュータ システム内で、権限の分離を強制できる主なセキュリティ モデルは、アクセス制御リスト(ACL) とロールベースのアクセス制御(RBAC) の 2 つです。

アクセス制御リスト(ACL)は、コンピュータのファイルシステムにおいて、オブジェクトに関連付けられた権限のリストです。ACLは、どのユーザーまたはシステムプロセスにオブジェクトへのアクセスを許可するか、また、特定のオブジェクトに対してどのような操作を許可するかを指定します。

ロールベースアクセス制御は、システムへのアクセスを許可されたユーザーのみに制限するアプローチであり、[ 89 ] [ 90 ] [ 91 ] 500人以上の従業員を抱える企業の大多数で使用されており、[ 92 ]強制アクセス制御(MAC)または任意アクセス制御(DAC) を実装できます。

もう一つのアプローチであるケイパビリティベースセキュリティは、これまで主に研究用オペレーティングシステムに限定されてきました。しかし、ケイパビリティは言語レベルでも実装可能であり、本質的に標準的なオブジェクト指向設計を改良したプログラミングスタイルにつながります。この分野のオープンソースプロジェクトとして、E言語があります。

ユーザーセキュリティトレーニング

エンドユーザーは、セキュリティチェーンの中で最も弱いリンクであると広く認識されており[ 93 ]、セキュリティインシデントや侵害の90%以上に何らかの人為的エラーが関与していると推定されています。[ 94 ] [ 95 ]最も一般的に記録されているエラーや誤判断には、不適切なパスワード管理、機密データや添付ファイルを含むメールを間違った受信者に送信すること、誤解を招くURLを認識できないこと、偽のウェブサイトや危険なメールの添付ファイルを識別できないことなどがあります。ユーザーが犯しがちなミスは、銀行サイトへのログインを容易にするために、ユーザーID/パスワードをブラウザに保存することです。これは、何らかの方法でマシンにアクセスした攻撃者にとって格好の贈り物です。このリスクは、2要素認証を使用することで軽減できます。[ 96 ]

サイバーリスクの人的要素は、組織が直面している世界的なサイバーリスク[ 97 ]を決定する上で特に重要であるため、あらゆるレベルでのセキュリティ意識向上トレーニングは、規制や業界の義務への正式な遵守を提供するだけでなく、サイバーリスクを軽減し、個人や企業をサイバー脅威の大部分から保護するために 不可欠であると考えられています[ 98 ] 。

エンドユーザーに焦点を当てることは、従来はサイバーセキュリティに対して技術的な観点からのみアプローチしてきた多くのセキュリティ実務者にとって、根本的な文化的変化を表しており、セキュリティ意識の高いユーザーがサイバー攻撃に対する重要な防御線を提供することを認識し、組織内でサイバー意識の文化を育むという主要なセキュリティセンター[ 99 ]によって提案された方向に沿っています。

デジタル衛生

エンドユーザートレーニングに関連して、デジタル衛生またはサイバー衛生は情報セキュリティに関する基本原則であり、個人衛生との類似性からもわかるように、サイバー脅威によるリスクを最小限に抑えるための簡単な日常的な対策を確立することと同等です。優れたサイバー衛生の実践は、ネットワークに接続されたユーザーに新たな保護層を提供し、脆弱なノードが攻撃を仕掛けたり、他のノードやネットワークを侵害したりするリスク、特に一般的なサイバー攻撃によるリスクを軽減するという前提に基づいています。[ 100 ]また、サイバー衛生は軍事用語であるプロアクティブサイバーディフェンスと混同されるべきではありません。 [ 101 ]

デジタル衛生の最も一般的な行為としては、マルウェア対策、クラウドバックアップ、パスワードの更新、管理者権限の制限とネットワークファイアウォールの確保などが挙げられます。[ 102 ]脅威に対する純粋に技術ベースの防御とは対照的に、サイバー衛生は主に技術的に簡単に実装でき、規律[ 103 ]や教育[ 104 ]に依存する日常的な対策を指します。これは、個人または集団のデジタルセキュリティにプラスの効果があることが実証されているヒントや対策の抽象的なリストと考えることができます。そのため、これらの対策はセキュリティ専門家だけでなく、一般の人でも実行できます。

サイバー衛生は、コンピュータウイルスが生物学的ウイルス(または病原体)に関連するのと同様に、個人の衛生に関連しています。しかし、コンピュータウイルスという用語は、最初の実用的なコンピュータウイルスの作成とほぼ同時に造語されましたが[ 105 ] 、サイバー衛生という用語はずっと後になってから、おそらく2000年頃[ 106 ]にインターネットの先駆者であるヴィント・サーフによって考案されました。その後、この用語は米国議会[ 107 ]および上院[ 108 ][ 109 ] 、 EU機関[ 100 ]、そして各国首脳[ 101 ]によって採用されてきました。

違反への対応の難しさ

セキュリティ侵害の試みへの対応は、次のようなさまざまな理由から非常に困難になることがよくあります。

  • 攻撃者を特定するのは困難です。なぜなら、彼らはプロキシ、一時的な匿名ダイヤルアップアカウント、無線接続、その他の匿名化手順を利用して攻撃を行っている可能性があり、追跡が困難になるからです。また、攻撃者はしばしば別の管轄区域に所在しています。セキュリティ侵害に成功した場合、多くの場合、ログを削除して痕跡を隠蔽できるほどの管理者権限も取得しています。
  • 自動化された脆弱性スキャナやコンピュータワームなどによって行われる攻撃の試みの数が膨大であるため、組織がそれぞれの攻撃を追跡するのに時間を費やすことはできません。
  • 法執行機関は、攻撃者を追跡するためのスキル、関心、予算を欠いていることがよくあります。さらに、ネットワーク全体で攻撃者を特定するには、ネットワーク内の複数の場所や複数の国からログを収集する必要がある場合があり、これは困難で時間のかかるプロセスです。

攻撃が成功し、侵害が発生した場合に備えて、多くの管轄区域でセキュリティ侵害の通知を義務付ける法律が施行されています。

セキュリティとプライバシーの種類

危険にさらされているシステム

コンピュータ システムの数が増加し、個人、企業、業界、政府によるコンピュータ システムへの依存が高まるにつれて、危険にさらされるシステムの数も増加します。

金融システム

米国証券取引委員会、SWIFT、投資銀行、商業銀行などの金融規制当局や金融機関のコンピュータシステムは、市場を操作して不正な利益を得ようとするサイバー犯罪者にとって主要なハッキングターゲットです。[ 110 ]クレジットカード番号、証券口座、銀行口座情報を受け入れたり保存したりするウェブサイトやアプリも、送金、購入、または闇市場での情報販売によってすぐに金銭的な利益を得られる可能性があるため、主要なハッキングターゲットです。[ 111 ]店舗内の支払いシステムやATMも、顧客の口座データやPINを収集するために改ざんされています。

UCLAインターネットレポート:デジタル未来の調査(2000年)によると、個人データのプライバシーがオンライン販売の障壁となっており、インターネットユーザーの10人中9人以上がクレジットカードのセキュリティについて多少なりとも非常に懸念していることがわかりまし[ 112 ]

ブラウザとウェブサイト間のセキュリティを向上させる最も一般的なウェブ技術は、SSL(Secure Sockets Layer)とその後継のTLS(Transport Layer Security)、アイデンティティ管理および認証サービス、そしてドメイン名サービスと呼ばれ、企業と消費者は安全な通信と商取引を行うことができます。SSLとTLSのいくつかのバージョンは現在、ウェブ閲覧、電子メール、インターネットFAX、インスタントメッセージVoIP (Voice-over-IP)などのアプリケーションで一般的に使用されています。これらの技術には様々な相互運用可能な実装があり、その中にはオープンソースの実装も少なくとも1つ含まれています。オープンソースでは、誰でもアプリケーションのソースコードを閲覧し、脆弱性を探して報告することができます。

クレジットカード会社のVisaMasterCardは、クレジットカードに埋め込まれる安全なEMVチップの開発で協力しました。さらに、銀行が顧客に携帯型カードリーダーを提供し、安全なオンライン取引を行えるようにする「チップ認証プログラム」も開発されました。この分野におけるその他の開発としては、ショッピングモールのキオスク端末が銀行に代わって、希望する顧客にその場でクレジットカードを発行することを可能にする「インスタント発行」などの技術開発があります。

公共設備および産業機器

コンピュータは、通信電力網原子力発電所の調整、水道・ガス網のバルブ開閉など、多くの公共事業体の機能を制御しています。インターネットは、これらの機器が接続されている場合、潜在的な攻撃ベクトルとなりますが、 Stuxnetワームは、インターネットに接続されていないコンピュータによって制御される機器でさえも脆弱になり得ることを示しました。2014年には、国土安全保障省の一部門であるコンピュータ緊急対応チームが、エネルギー企業における79件のハッキング事件を調査しました。[ 113 ]

航空

航空業界は、攻撃を受ける可能性のある一連の複雑なシステムに大きく依存しています。[ 114 ] 1つの空港で単純な停電が発生すると、世界中に波紋が広がります。[ 115 ]システムの多くは無線通信に依存していますが、これは中断される可能性があります。 [ 116 ]また、レーダー監視の範囲が海岸から175マイルから225マイルにしか及ばないため、洋上を飛行する航空機の制御は特に危険です。[ 117 ]航空機内からの攻撃を受ける可能性もあります。[ 118 ]

航空宇宙システムにおける修正の実施は、効率的な航空輸送が重量と容積に大きく影響されるため、特有の課題を伴います。航空機に物理的な装置を追加することでセキュリティを強化すると、空車重量が増加し、貨物や乗客の収容能力が低下する可能性があります。[ 119 ]

ヨーロッパでは、汎ヨーロッパネットワークサービス[ 120 ]NewPENS [ 121 ] 、そして米国ではNextGenプログラム[ 122 ]により、航空航法サービスプロバイダーは独自の専用ネットワークを構築する方向に動いています。

現代のパスポートの多くは生体認証パスポートとなっており、デジタル化された写真と名前、性別、生年月日などの個人情報が保存されたマイクロチップが埋め込まれている。さらに、より多くの国が身元関連の詐欺を減らすために顔認識技術を導入している。電子パスポートの導入によって、国境警備官はパスポート所持者の身元を確認しやすくなり、乗客の処理が迅速化された。[ 123 ]米国、英国オーストラリアでは網膜と指紋認識技術の両方を備えたスマートゲートキオスクを導入する計画が進行中である。 [ 124 ]航空業界は従来の紙の航空券から電子航空券(eチケット)への移行を進めている。これは航空会社と提携したオンラインクレジットカード取引の進歩によって可能になった。長距離バス会社も今日ではeチケット取引に切り替えている。

攻撃が成功した場合の影響は、機密性の損失からシステムの整合性の損失、航空交通管制の停止、航空機の損失、さらには人命の損失まで多岐にわたります。

消費者向けデバイス

デスクトップパソコンやノートパソコンは、パスワードや金融口座情報を収集したり、ボットネットを構築して別の標的を攻撃したりするために、一般的に標的とされます。スマートフォンタブレットパソコンスマートウォッチ、そして活動量計などの自己評価デバイスを含むその他のモバイルデバイスには、カメラ、マイク、GPS受信機、コンパス、加速度計などのセンサーが搭載されており、これらが悪用され、健康に関する機密情報を含む個人情報を収集される可能性があります。これらのデバイスのWi-Fi、Bluetooth、携帯電話ネットワークは攻撃ベクトルとして利用される可能性があり、侵入に成功するとセンサーが遠隔操作で作動する可能性があります。[ 125 ]

Nestサーモスタットなどのホームオートメーションデバイスの増加も潜在的なターゲットです。[ 125 ]

健康管理

今日、多くの医療機関や健康保険会社は、インターネットを活用して、より質の高い製品やサービスを提供しています。例えば、遠隔医療を活用して医療の質とアクセスを向上させたり、フィットネストラッカーを活用して保険料を下げたりすることが挙げられます。[ 126 ]患者記録は、安全な社内ネットワーク上に保管されることが増えており、追加の保管スペースの必要性が軽減されています。[ 127 ]

大企業

大企業はよくある標的です。多くの場合、攻撃は個人情報の盗難による金銭的利益を目的としており、データ漏洩も伴います。例としては、ホーム・デポ[ 128 ]ステープルズ[ 129 ]ターゲット・コーポレーション[ 130 ]エキファックス[ 131 ]による数百万人の顧客のクレジットカード情報や金融情報の盗難が挙げられます。

医療記録は、一般的に個人情報窃盗、健康保険詐欺、患者になりすまして娯楽目的や転売目的で処方薬を入手するなどの標的となっています。[ 132 ]サイバー脅威は増加し続けていますが、2015年には全組織の62%がビジネス向けのセキュリティトレーニングを強化しませんでした。[ 133 ]

しかし、すべての攻撃が金銭目的というわけではない。セキュリティ会社HBGary Federalは、 2011年にハクティビスト集団Anonymousから一連の深刻な攻撃を受けた。これは同社のCEOが同集団に侵入したと主張したことに対する報復だった。[ 134 ] [ 135 ]また、ソニー・ピクチャーズは2014年にハッキングを受けたが、その動機は明らかに、データ漏洩によって同社を困惑させることと、ワークステーションやサーバーを消去して同社を機能不全に陥れるという二重の目的があった。[ 136 ] [ 137 ]

自動車

自動車はますますコンピュータ化が進んでおり、エンジンタイミング、クルーズコントロールアンチロックブレーキ、シートベルトテンショナー、ドアロック、エアバッグ、そして多くのモデルに先進運転支援システムが搭載されています。さらに、コネクテッドカーは、車載機器や携帯電話ネットワークとの通信にWi-FiやBluetoothを使用する可能性があります。[ 138 ]自動運転車はさらに複雑になると予想されています。これらのシステムはすべてセキュリティリスクを伴い、こうした問題は広く注目を集めています。[ 139 ] [ 140 ] [ 141 ]

リスクの単純な例としては、悪意のあるコンパクトディスクを攻撃ベクトルとして利用すること[ 142 ]や、車載マイクを盗聴に利用することが挙げられます。しかし、車内のコントローラエリアネットワーク(CNA)へのアクセスが確保された場合、危険性ははるかに大きくなります[ 138 ]。2015年に行われた広く報道された実験では、ハッカーが10マイル離れた場所から遠隔操作で車両を奪い、溝に突っ込ませるという事件が発生しました[ 143 ] [ 144 ] 。

メーカーは様々な方法で対応しており、テスラは2016年に車のコンピュータシステムに無線経由でセキュリティ修正プログラムを導入した。 [ 145 ]自動運転車の分野では、2016年9月に米国運輸省が初期の安全基準を発表し、各州に統一的な政策を策定するよう求めた。[ 146 ] [ 147 ] [ 148 ]

さらに、同じ技術を用いてe-Driver License(運転免許証)の開発も進められています。例えば、メキシコの運転免許局(ICV)は、スマートカードプラットフォームを用いて、ヌエボ・レオンモンテレー市に初のe-Driver Licenseを発行しました。[ 149 ]

配送

運送会社[ 150 ]は、効率的でデジタル的に安全な追跡装置としてRFID (無線周波数識別)技術を採用しています。バーコードとは異なり、RFIDは最大20フィート(約6メートル)離れた場所からでも読み取り可能です。RFIDはFedEx [ 151 ]UPS [ 152 ]で使用されています。

政府

政府や軍のコンピュータシステムは、活動家[ 153 ] [ 154 ] [ 155 ]や外国勢力[ 156 ] [ 157 ] [ 158 ] [ 159 ]による攻撃を受けることが多い。これには、交通信号制御、警察や諜報機関の通信、人事記録、学生記録などの地方自治体のインフラが含まれる。 [ 160 ]

モノのインターネットと物理的な脆弱性

モノのインターネット( IoT)とは、電子機器ソフトウェアセンサーネットワーク接続組み込まれたデバイス、車両、建物などの物理的なオブジェクトのネットワークであり、データの収集と交換を可能にします。[ 161 ]セキュリティ上の課題が適切に考慮されずに開発されているという懸念が提起されています。[ 162 ] [ 163 ]

IoTは物理世界をコンピュータベースのシステムに直接統合する機会を生み出す一方で、[ 164 ] [ 165 ] 、悪用される機会も生み出します。特に、モノのインターネットが広く普及するにつれて、サイバー攻撃はますます物理的な(単なる仮想的なものではなく)脅威になる可能性があります。[ 166 ]玄関の鍵がインターネットに接続されていて、携帯電話から施錠・解錠できる場合、犯罪者は盗難またはハッキングされた携帯電話のボタンを押すだけで家に入ることができます。IoT対応デバイスによって制御される世界では、人々はクレジットカード番号よりもはるかに多くのものを失う可能性があります。泥棒は、インターネットに接続されていないホテルのドアロックを回避するために電子的な手段を使用することもあります。[ 167 ]

物理的なインフラや人命を狙った攻撃は、サイバーキネティック攻撃と呼ばれることがよくあります。IoTデバイスや家電製品の普及に伴い、サイバーキネティック攻撃の蔓延と潜在的な被害は大幅に増加する可能性があります。

医療システム

医療機器は攻撃を受けたり、潜在的に致命的な脆弱性が実証されたりしており、これには院内診断装置[ 168 ]ペースメーカー[ 169 ]インスリンポンプ[ 170 ]などの埋め込み型機器が含まれます。病院や病院組織がハッキングを受けたという報告は多数あり、ランサムウェア攻撃[ 171 ] [ 172 ] [ 173 ] [ 174 ] Windows XP のエクスプロイト[ 175 ] [ 176 ]ウイルス[ 177 ] [ 178 ]、病院のサーバーに保存されている機密データの侵害[ 179 ] [ 172 ] [ 180 ] [ 181 ] 、米国食品医薬品局は2016 年 12 月 28 日に、医療機器メーカーがインターネット接続デバイスのセキュリティを維持する方法に関する推奨事項を発表しましたが、強制するための仕組みはありませんでした。[ 182 ] [ 183 ]

エネルギー部門

デイリー・エネルギー・インサイダーによると、分散型発電システムではサイバー攻撃のリスクが現実のものとなっている。攻撃は広範囲で長期間にわたる停電を引き起こす可能性があり、自然災害と同等の深刻な結果をもたらす可能性がある。コロンビア特別区は、市内に分散型エネルギー資源(DER)局を設置することを検討している。その目的は、顧客が自らのエネルギー使用状況をより深く理解し、地元の電力会社であるペプコがエネルギー需要をより正確に予測できるようにすることだ。しかし、コロンビア特別区の提案は「サードパーティベンダーが多数のエネルギー供給拠点を設置できるようにするため、サイバー攻撃者が電力網を脅かす機会が増える可能性がある」[ 184 ] 。

通信

おそらく最も広く知られているデジタルセキュアな通信デバイスは、SIM(加入者識別モジュール)カードでしょう。これは、世界中のほとんどの携帯電話端末に、サービスを利用する前に組み込まれているデバイスです。SIMカードは、このデジタルセキュアな環境のほんの始まりに過ぎません。

スマートカードウェブサーバー標準草案(SCWS)は、スマートカード内のHTTPサーバーへのインターフェースを定義しています。[ 185 ]携帯電話との間でOTA(Over-The-Air)決済およびクレジットカード情報の送受信を安全に行うためのテストが実施されています。また、DVD準拠の光ディスクを通常のSIMカード本体に組み込むスマートビデオカード技術を活用し、SIM/DVD複合デバイスの開発も進められています。

デジタル セキュリティに関連するその他の通信技術の開発には、埋め込まれた SIM カードを使用して法的拘束力のある電子署名を生成するモバイル署名が含まれます。

セキュリティ侵害のコストと影響

セキュリティ侵害によって深刻な経済的損害が発生していますが、インシデントのコストを推定するための標準的なモデルがないため、入手可能なデータは関係組織が公表したデータのみです。「複数のコンピュータセキュリティコンサルティング会社が、ウイルスやワーム攻撃、そして一般的な敵対的なデジタル行為に起因する世界全体の損失額の推計を行っています。これらの会社による2003年の損失額の推計は、130億ドル(ワームとウイルスのみ)から2260億ドル(あらゆる形態の隠蔽攻撃を含む)に及びます。これらの推計の信頼性はしばしば疑問視されており、その基礎となる方法論は基本的に逸話的なものです。」[ 186 ]

しかし、セキュリティ侵害の経済的コストを合理的に見積もることは、組織が合理的な投資判断を行う上で役立つ可能性がある。情報セキュリティへの最適投資レベルを分析する古典的なゴードン・ローブ・モデルによれば、企業が情報保護に費やす金額は、一般的に、予想される損失(すなわち、サイバー/情報セキュリティ侵害に起因する損失の期待値)のごく一部に過ぎないという結論に達することができる。[ 187 ]

攻撃者の動機

物理的なセキュリティと同様に、コンピュータセキュリティ侵害の動機は攻撃者によって異なります。スリルを求める人や破壊行為をする者、活動家、金銭的利益を狙う犯罪者などです。国家の支援を受けた攻撃者は現在では一般的で、十分な資金も持っていますが、クリフォード・ストールが『カッコウの卵』で述べているように、KGBのためにハッキングをしていたマルクス・ヘスのようなアマチュアから始まりました。

攻撃者の動機は、娯楽目的から政治的目的まで、あらゆる攻撃の種類において多岐にわたります。[ 15 ]例えば、ハクティビストは、自分たちが賛同しない活動を行っている企業や組織を標的にすることがあります。これは、企業のウェブサイトをクラッシュさせることで、その企業の評判を落とすことが目的です。

高度な能力を持つハッカーは、多くの場合、より大きな資金や国家の支援を受けており、資金提供者の要求に基づいて攻撃を行う可能性があります。このような攻撃は、より深刻な攻撃を企てる可能性が高くなります。より深刻な攻撃の例として、2015年のウクライナ電力網ハッキングが挙げられます。この攻撃では、スピアフィッシング、ファイル破壊、サービス拒否攻撃といった手法が駆使され、完全な攻撃が実行されたと報告されています。[ 188 ] [ 189 ]

さらに、最近の攻撃者の動機は、政治的優位性を獲得したり、社会的な課題を混乱させようとする過激派組織にまで遡ることができる。[ 190 ]インターネット、モバイル技術、そして安価なコンピューティングデバイスの普及は、攻撃能力の向上をもたらしたが、同時に、作戦に不可欠とみなされる環境へのリスクも増大させた。標的となる重要な環境はすべて侵害の危険にさらされており、こうした攻撃者の動機を考慮してリスクを分散させる方法に関する一連の積極的な研究が行われてきた。ハッカーの動機と、イデオロギー的嗜好に基づいて攻撃しようとする国家主体の動機との間には、いくつかの明確な違いが存在する。 [ 191 ]

あらゆるシステムにおける脅威モデリングの重要な側面は、潜在的な攻撃の背後にある動機と、それを実行する可能性のある個人またはグループを特定することです。セキュリティ対策のレベルと詳細は、保護対象となる特定のシステムによって異なります。例えば、家庭用パソコン、銀行、機密軍事ネットワークは、基盤となる技術は類似しているにもかかわらず、それぞれ異なる脅威に直面します。[ 192 ]

コンピュータセキュリティインシデント管理

コンピュータセキュリティインシデント管理とは、コンピュータセキュリティインシデントや侵害の事後対応と管理を行う組織的なアプローチであり、侵害の防止やサイバー攻撃の阻止を目的としています。侵入時に特定・管理されないインシデントは、通常、データ侵害やシステム障害といったより深刻な事態へとエスカレートします。コンピュータセキュリティインシデント対応計画の目的は、インシデントを封じ込め、被害を最小限に抑え、通常業務への復旧を支援することです。侵害への迅速な対応は、悪用された脆弱性を軽減し、サービスとプロセスを復旧し、損失を最小限に抑えることにつながります。[ 193 ] インシデント対応計画により、組織は侵害による被害が発生する前に阻止するための一連のベストプラクティスを確立することができます。一般的なインシデント対応計画には、サイバー攻撃に対する組織の対応を概説した一連の指示書が含まれています。文書化された計画がなければ、組織は侵入や侵害を適切に検知できず、利害関係者はエスカレーション時に自らの役割、プロセス、手順を理解できず、組織の対応と解決が遅れる可能性があります。

コンピュータ セキュリティ インシデント対応計画には、次の 4 つの主要なコンポーネントがあります。

  1. 準備: コンピュータセキュリティインシデントや侵害に対処するための手順について関係者を準備する
  2. 検出と分析: セキュリティインシデントを確認するために疑わしいアクティビティを特定して調査し、影響に基づいて対応の優先順位を決定し、インシデントの通知を調整します。
  3. 封じ込め、根絶、復旧: 影響を受けたシステムを隔離してエスカレーションを防ぎ、影響を限定し、インシデントの発生源を特定し、マルウェア、影響を受けたシステム、および悪意のある行為者を環境から除去し、脅威がなくなったらシステムとデータを復元します。
  4. インシデント後の活動:インシデント対応計画と将来の対応努力を改善することを目的として、インシデント、その根本原因、組織の対応について事後分析を行う。[ 194 ]

注目すべき攻撃と侵害

以下に、さまざまな種類のコンピューター セキュリティ侵害の例をいくつか示します。

ロバート・モリスと最初のコンピュータワーム

1988年には、6万台のコンピュータがインターネットに接続されており、そのほとんどはメインフレーム、ミニコンピュータ、そして業務用ワークステーションでした。1988年11月2日、多くのコンピュータの速度が低下し始めました。これは、プロセッサ時間を要求し、他のコンピュータに拡散する悪意のあるコードが実行されていたためです。これが最初のインターネット・コンピュータ・ワームでした。[ 195 ]このソフトウェアは、当時23歳だったコーネル大学大学院生、ロバート・タッパン・モリスが「インターネットに接続されているマシンの数を数えたい」と言ったことに遡ります。[ 195 ]

ローマ研究所

1994年、正体不明のクラッカーによる100回以上の侵入が、アメリカ空軍の主要司令部および研究施設であるローマ研究所に行われました。トロイの木馬を使用することで、ハッカーたちはローマのネットワークシステムへの無制限のアクセスを取得し、活動の痕跡を消すことに成功しました。侵入者は、航空任務命令システムデータなどの機密ファイルを入手し、さらに、信頼できるローマ研究所のユーザーを装うことで、アメリカ航空宇宙局(NASA)ゴダード宇宙飛行センター、ライト・パターソン空軍基地、一部の防衛関連企業、その他の民間組織の接続ネットワークに侵入することに成功しました。[ 196 ]

TJX顧客のクレジットカード詳細

2007年初頭、アメリカのアパレル・家庭用品メーカーTJXは、不正なコンピュータシステム侵入の被害に遭い[ 197 ]、ハッカーがクレジットカードデビットカード小切手、商品返品取引のデータを保管するシステムにアクセスしたことを発表しました[ 198 ] 。

スタックスネット攻撃

2010年、 Stuxnetとして知られるコンピュータワームが、イランの核遠心分離機の約5分の1を破壊したと報じられています。[ 199 ]このワームは、産業用プログラマブルロジックコントローラ(PLC)を標的とした攻撃によって破壊されました。これは、イスラエルと米国がイランの核開発計画を妨害するために仕掛けたと一般的に考えられています[ 200 ] [ 201 ] [ 202 ] [ 203 ]が、両国ともこれを公に認めていません。

世界的な監視の開示

2013年初頭、エドワード・スノーデン氏が提供した文書がワシントン・ポスト紙ガーディアン紙によって公開され[ 204 ] [ 205 ] 、 NSAによる大規模な世界規模の監視活動が暴露されました。また、NSAがNISTの暗号化標準にバックドアを仕掛けた可能性も示唆されました[ 206 ]。この標準は後に広範な批判を受けて撤回されました[ 207 ] 。さらに、NSAはGoogleのデータセンター間のリンクを盗聴していたことが明らかになりました[ 208 ]。

ターゲットとホームデポの侵害

2013年、Rescatorとして知られるウクライナ人ハッカーがTarget Corporationのコンピュータに侵入し、約4,000万枚のクレジットカードを盗んだ[ 209 ] 。その後、 2014年にはHome Depotのコンピュータに侵入し、5,300万~5,600万のクレジットカード番号を盗んだ[ 210 ] 。両社に警告が出されていたが無視された。セルフチェックアウト機を使った物理的なセキュリティ侵害が大きな役割を果たしたと考えられている。「使用されたマルウェアは全く洗練されておらず、面白みもない」と、セキュリティ技術企業McAfeeの脅威情報運用担当ディレクター、ジム・ウォルター氏は述べている。つまり、管理者が警告に対応していれば、既存のウイルス対策ソフトウェアで簡単に盗難を阻止できたはずだということだ。盗難の規模の大きさから、州および連邦当局は大きな注目を集めており、捜査は現在も続いている。

人事管理局のデータ漏洩

2015年4月、人事管理局は、 1年以上前にデータ侵害でハッキングされ、同局が扱っていた約2,150万件の人事記録が盗まれたことを発見した。[ 211 ]人事管理局のハッキングは、連邦当局者により、米国史上最大の政府データ侵害の一つとされている。[ 212 ]この侵害で標的とされたデータには、現職および元政府職員、政府の身元調査を受けた人物の社会保障番号、名前、生年月日と出生地、住所、指紋などの個人を特定できる情報が含まれていた。 [ 213 ] [ 214 ]このハッキングは中国のハッカーによって実行されたと考えられている。[ 215 ]

アシュリー・マディソンの侵害

2015年7月、The Impact Teamと呼ばれるハッカー集団が、Avid Life Mediaが運営する不倫仲介サイト「アシュレイ・マディソン」への侵入に成功した。この集団は、企業データだけでなくユーザーデータも盗み出したと主張した。侵入後、The Impact Teamは自らの主張を証明するため、同社のCEOからのメールをダンプし、サイトを永久に閉鎖しなければ顧客データをダンプすると脅迫した。[ 216 ] Avid Life Mediaがサイトをオフラインにしなかったため、集団はさらに2つの圧縮ファイルを公開した。1つは9.7GB、もう1つは20GBだった。2回目のデータダンプ後、Avid Life MediaのCEO、ノエル・ビダーマンは辞任したが、サイトは引き続き機能した。

コロニアル・パイプラインのランサムウェア攻撃

2021年6月、サイバー攻撃により米国最大の燃料パイプラインがダウンし、東海岸全域で燃料不足が発生した。[ 217 ]

サイバー攻撃に関する国際的な法的問題は、本質的に複雑です。サイバー犯罪やサイバー犯罪者を裁き、最終的に処罰するための共通ルールの世界的基盤は存在しません。セキュリティ企業や機関が特定のマルウェアサイバー攻撃の作成に関与したサイバー犯罪者を特定したとしても、訴追のための法律がないため、現地当局は対応できないことがよくあります。[ 218 ] [ 219 ]サイバー犯罪やサイバー攻撃の犯人特定も、すべての法執行機関にとって大きな課題です。「コンピューターウイルスは、私たちがこのような活動を世界規模で取り締まる能力を持っていないという事実を利用して、国から国へ、管轄区域から管轄区域へと移動し、世界中を移動します。つまり、インターネットはまるで誰かが世界中のオンライン犯罪者に無料の航空券を与えたようなものです。」[ 218 ]ダイナミックDNSファストフラックス防弾サーバーなどの技術の使用は、捜査と執行をさらに困難にしています。

政府の役割

政府の役割は、企業や組織がシステム、インフラ、情報をサイバー攻撃から守るよう規制を制定することであるが、国の電力網などの国家インフラを守ることも重要である。[ 220 ]

サイバー空間における政府の規制の役割は複雑である。一部の人々にとって、サイバー空間は政府の介入から自由な仮想空間であると考えられており、これは今日のリバタリアン的なブロックチェーンビットコインに関する多くの議論にも見られる。[ 221 ]

多くの政府関係者や専門家は、民間部門がサイバーセキュリティ問題を効率的に解決できていないことが主な原因で、政府はより多くの対策を講じるべきであり、規制の改善が不可欠だと考えている。R・クラーク氏は、サンフランシスコで開催されたRSAセキュリティカンファレンスのパネルディスカッションで、「業界は規制の脅威にさらされたときにのみ反応する。業界が(脅威に)反応しないのであれば、それをやり遂げなければならない」と述べた。[ 222 ]一方、民間部門の幹部は、規制の改善の必要性には同意するものの、政府の介入は効率的なイノベーション能力に影響を与えると考えている。ダニエル・R・マッカーシー氏は、サイバーセキュリティにおけるこの官民パートナーシップを分析し、より広範な政治秩序の構築におけるサイバーセキュリティの役割について考察した。[ 223 ]

2020年5月22日、国連安全保障理事会は、国際平和に対するサイバー上の課題に焦点を当て、サイバーセキュリティに関する史上2回目の非公式会合を開催した。アントニオ・グテーレス国連事務総長は、新たな技術があまりにも頻繁に権利侵害に利用されていると指摘している。[ 224 ]

国際的な行動

次のようなさまざまなチームや組織が存在します。

ヨーロッパ

2016年4月14日、欧州議会欧州連合理事会は一般データ保護規則(GDPR)を採択しました。2018年5月25日に施行されたGDPRは、欧州連合(EU)および欧州経済領域(EEA)内の個人に個人データ保護の権利を付与します。この規則は、個人データを処理するすべての組織に対し、設計段階およびデフォルトでデータ保護を組み込むことを義務付けています。また、特定の組織にはデータ保護責任者(DPO)の任命も義務付けています。

IT セキュリティ協会TeleTrusT は1986 年 6 月からドイツに存在しており、IT セキュリティに関する国際的な能力ネットワークです。

国家の行動

コンピュータ緊急対応チーム

ほとんどの国には、ネットワークのセキュリティを保護するための独自のコンピュータ緊急対応チームがあります。

カナダ

2010年以来、カナダはサイバーセキュリティ戦略を策定している。[ 230 ] [ 231 ]これは、重要インフラに関する国家戦略・行動計画のカウンターパート文書として機能している。[ 232 ]この戦略には、政府システムのセキュリティ確保、重要な民間サイバーシステムのセキュリティ確保、カナダ国民のオンラインセキュリティ確保の3つの主要な柱がある。[ 231 ] [ 232 ]また、サイバーインシデント発生時に協調的な対応を行うためのサイバーインシデント管理フレームワークも存在する。[ 233 ] [ 234 ]

カナダサイバーインシデント対応センター(CCIRC)は、カナダの重要インフラおよびサイバーシステムに対する脅威の軽減と対応を担っています。サイバー脅威の軽減支援、標的型サイバー攻撃への対応と復旧のための技術支援を提供し、カナダの重要インフラセクターの関係者にオンラインツールを提供しています。[ 235 ]定期的にサイバーセキュリティ速報を掲載し[ 236 ]、個人や組織がサイバーインシデントを報告できるオンライン報告ツールを運営しています。[ 237 ]

カナダ公安省は、一般の人々にオンラインで自分自身を守る方法を知らせるために、非営利団体、民間部門、政府機関の連合であるSTOP.THINK.CONNECTと提携し[ 238 ]、サイバーセキュリティ協力プログラムを立ち上げました。[ 239 ] [ 240 ]また、カナダ国民向けのGetCyber​​Safeポータルを運営し、10月にはサイバーセキュリティ啓発月間を実施しています。[ 241 ]

カナダ公安省は、2015年初頭にカナダのサイバーセキュリティ戦略の評価を開始することを目指している。[ 232 ]

オーストラリア

オーストラリア連邦政府は、中小企業(SME)のサイバーセキュリティレジリエンスを強化し、サイバー脅威への対応能力を向上させるため、1,820万ドルの投資を発表しました。この財政支援は、 2023~2030年オーストラリアサイバーセキュリティ戦略の不可欠な要素です。720万ドルという多額の予算が、自主的なサイバーヘルスチェックプログラムの設立に充てられ、企業がサイバーセキュリティスキルの向上について包括的かつ個別対応可能な自己評価を実施できるよう支援します。

この先進的な健全性評価は診断ツールとして機能し、企業はオーストラリアのサイバーセキュリティ規制の堅牢性を確認することができます。さらに、教育リソースや教材のリポジトリへのアクセスも提供し、高度なサイバーセキュリティ体制に必要なスキルの習得を促進します。この画期的な取り組みは、クレア・オニールサイバーセキュリティ大臣とジュリー・コリンズ中小企業大臣によって共同で発表されました。[ 242 ]

香港

香港の重要インフラ(コンピュータシステム)保護法案(以下「法案」)は、2025年3月19日に立法会で可決され、「重要インフラ事業者として指定された組織に対する法的要件を確立する」ことを目的としている。[ 243 ]。経済と公共の安全を深刻な混乱をもたらすサイバー脅威から守るため、香港の新しい重要インフラ(コンピュータシステム)保護条例(第653章)(以下「条例」)は、防衛の最前線に立つゲートキーパー向けの行動規範(CoP)ガイドラインとともに、2026年1月1日に施行された。[ 244 ]

インド

サイバーセキュリティに関するいくつかの規定は、2000年情報技術法に基づいて制定された規則に組み込まれている。[ 245 ]

2013年国家サイバーセキュリティ政策は、電子情報技術省(MeitY)による政策枠組みであり、公共および民間インフラをサイバー攻撃から保護し、「個人情報(ウェブユーザー)、金融・銀行情報、国家データ」などの情報を保護することを目的としています。CERT -Inは、国内のサイバー脅威を監視する中核機関です。また、首相府(PMO)に国家サイバーセキュリティコーディネーターの職も設置されました。

2013年インド会社法は、サイバー法とインド取締役のサイバーセキュリティ義務も導入しました。サイバーセキュリティに関する一部の規定は、2013年に改正された2000年情報技術法に基づいて制定された規則に組み込まれています。[ 246 ]

韓国

2013年上半期に政府、報道機関、テレビ局、銀行のウェブサイトがサイバー攻撃を受け、政府は2017年までに5,000人の新たなサイバーセキュリティ専門家を育成することを約束した。韓国政府はこれらの攻撃だけでなく、2009年、2011年、[ 247 ]、2012年に発生した事件についても北朝鮮の責任を追及したが、平壌はこれを否定している。[ 248 ]

イギリス

2016年に、英国のサイバーセキュリティを監督する中心機関として、GCHQの一部として国家サイバーセキュリティセンターが設立されました。[ 249 ] [ 250 ]英国政府は2022年に国家サイバーセキュリティ戦略を発表し、産業、スキル、国家安全保障に26億ポンドを割り当てました。[ 251 ] [ 252 ]さらに、 2020年に発足した国家サイバーフォースは、GCHQおよび国防省と連携し、「サイバー空間で敵に対抗し、国、国民、そして私たちの生活様式を守る英国の能力を変革する」ことを目指しています。[ 253 ]

アメリカ合衆国

サイバープラン

この国家サイバー計画の発表により、米国は15年ぶりに完全に形成されたサイバー計画を有することになった。[ 254 ]この政策で米国は、ネットワーク、システム、機能、およびデータを安全に保つことで国を保護すること、強力なデジタル経済を構築し、強力な国内イノベーションを奨励することで米国の富を促進すること、友好国やパートナーと協力して人々がコンピュータツールを悪用するのを米国がより容易に阻止できるようにすることで平和と安全を維持すること、オープンで安全、信頼性が高く互換性のあるインターネットの背後にある主要なアイデアをサポートするために世界中で米国の影響力を高めることを謳っている。[ 255 ]

米国の新たなサイバー戦略[ 256 ]は、サイバー空間における責任ある行動を促進し、各国に国際法と自主基準の両方を通じて一連の規範を遵守するよう求めることで、こうした懸念の一部を和らげることを目指している。また、2015年6月に発生した米国人事管理局(OPM)への侵入事件のような攻撃から米国政府ネットワークを強化するための具体的な措置も求めている。この事件では、現職および元職の政府職員約420万人の記録が漏洩した。さらに、この戦略は、米国が引き続き悪質なサイバー攻撃者を公表し、可能な限り攻撃を行ったとして公に非難するとともに、経済制裁や外交的圧力も行使することを求めている。[ 257 ]

立法

1986年のコンピュータ詐欺および濫用法( 18 USC  § 1030)は重要な法律です。この法律は、18 USC § 1030(e)(2)で定義されている保護されたコンピュータへの不正アクセスまたは損害を禁止しています。他にも様々な対策が提案されてきましたが[ 258 ] [ 259 ]、いずれも成功していません。  

2013 年には、重要なインフラストラクチャのサイバー セキュリティの改善に関する大統領令13636が署名され、 NIST サイバー セキュリティ フレームワークの作成が促進されました。

コロニアル・パイプラインのランサムウェア攻撃[ 260 ]を受けて、ジョー・バイデン大統領は2021年5月12日に大統領令14028号[ 261 ]に署名し、政府向け販売のソフトウェアセキュリティ基準の強化、既存システムの検出とセキュリティの強化、情報共有とトレーニングの改善、サイバーセーフティレビュー委員会の設立、インシデント対応の改善を図った。

標準化された政府試験サービス

米国一般調達局(GSA)は、潜在的な脆弱性に迅速に対処し、攻撃者が米国の連邦政府、州政府、地方自治体に影響を与える前に阻止するために、侵入テストサービスを事前審査済みのサポートサービスとして標準化しました。これらのサービスは、一般的に高度適応型サイバーセキュリティサービス(HACS)と呼ばれています。

代理店

国土安全保障省には、米国のサイバーセキュリティに関する対応システム、リスク管理プログラム、要件を担当する専門部署である国家サイバーセキュリティ局がある。[ 262 ] [ 263 ]この部署は、US-CERTの活動と国家サイバー警報システムの本拠地となっている。[ 263 ]国家サイバーセキュリティ・通信統合センターは、コンピュータネットワークとネットワークインフラストラクチャの保護を担当する政府機関を結集している。[ 264 ]

FBIの3番目の優先事項は、「サイバー攻撃とハイテク犯罪から米国を守ること」です。[ 265 ] FBIは、全米ホワイトカラー犯罪センター(NW3C)や司法支援局(BJA)とともに、複数機関からなるタスクフォース、インターネット犯罪苦情センター(IC3)の一部です。[ 266 ]

FBIは自身の特定の任務に加えて、インフラガードなどの非営利団体と協力して活動しています。[ 267 ] [ 268 ]

コンピュータ犯罪・知的財産課(CCIPS)は、米国司法省刑事局に属しています。CCIPSはコンピュータ犯罪および知的財産犯罪の捜査を担当し、コンピュータおよびネットワーク内のデジタル証拠の捜索と押収を専門としています。[ 269 ] 2017年、CCIPSは「オンラインシステムの脆弱性開示プログラムのフレームワーク」を公開しました。これは、組織が「承認された脆弱性開示および発見行為を明確に記述し、記述された活動がコンピュータ詐欺および濫用防止法(18 USC § 1030)に基づく民事または刑事違反につながる可能性を大幅に低減する」ことを目的としています。[ 270 ]

USCYBERCOMとしても知られる米国サイバーコマンドは、「国内外のパートナーと協力して、国家の利益を守り推進するために、サイバー空間の計画と作戦を指揮、同期、調整する任務を負っている。」[ 271 ]民間ネットワークの保護については関与していない。[ 272 ] [ 273 ]

米国連邦通信委員会のサイバーセキュリティにおける役割は、重要な通信インフラの保護を強化し、災害時のネットワークの信頼性の維持を支援し、災害後の迅速な復旧を支援し、緊急対応者が効果的な通信サービスにアクセスできるようにすることです。[ 274 ]

食品医薬品局(FDA)は医療機器に関するガイダンスを発行しており[ 275 ]米国道路交通安全局(NHTSA 自動車のサイバーセキュリティに懸念を抱いている[276]。政府監査院(GAO )からの批判[ 277 ]を受け、空港への攻撃が成功し、航空機への攻撃が主張されたことを受けて、連邦航空局(FAA)は民間航空機メーカーの機内システムのセキュリティ確保と航空機通信アドレス・報告システム(ACAS)に資金を投入した[ 278 ]。また、将来の次世代航空輸送システム(NGTS)についても懸念が提起されている[ 279 ]

米国国防総省(DoD)は2004年にDoD指令8570を発行し、DoD指令8140によって補足されました。これにより、情報保証の役割と活動に携わるすべてのDoD職員とすべてのDoD契約職員は、ネットワークインフラ防衛に携わるすべてのDoD職員がIT業界で認められた最低限の知識、スキル、能力(KSA)を有することを確保するため、様々な業界の情報技術(IT)認定資格を取得し、維持することが義務付けられました。AnderssonとReimers(2019)は、これらの認定資格は、CompTIAのA+やSecurity+からICS2.orgのCISSPなどまで多岐にわたると報告しています。[ 280 ]

コンピュータ緊急対応チーム

コンピュータ緊急対応チーム(ECRT)は、コンピュータセキュリティインシデントに対応する専門家グループに付けられた名称です。米国では、2つの異なる組織が存在しますが、それらは緊密に連携しています。

米国NRC、10 CFR 73.54サイバーセキュリティ

米国の原子力発電所に関しては、米国原子力規制委員会(NRC)が10 CFR Part 73、具体的には§73.54に基づいてサイバーセキュリティ要件を概説している。 [ 282 ]

NEI 08-09: 原子力発電所向けサイバーセキュリティ計画

原子力エネルギー研究所(NEI)の2008-09年度版文書「原子力発電炉のサイバーセキュリティ計画」 [ 283 ]、原子力産業におけるサイバーセキュリティ の包括的な枠組みを概説している。米国原子力規制委員会(NRC )の意見を参考に作成されたこのガイドラインは、原子力発電所のデジタルコンピュータ、機器、通信システムをサイバー脅威から強固に保護することを義務付ける連邦規則集(CFR)を事業者が遵守する上で役立つ。[ 284 ]

現代の戦争

サイバー空間が新たな戦場となるのではないかという懸念が高まっている。クリスチャン・サイエンス・モニターのマーク・クレイトン氏は、2015年に「新たなサイバー軍拡競争」と題した記事で次のように述べている。

将来、戦争は銃を持った兵士や爆弾を投下する飛行機だけで戦われることはなくなるでしょう。マウスをクリックするだけで、地球の裏側で巧妙に兵器化されたコンピュータプログラムが放たれ、公共事業、交通、通信、エネルギーといった重要産業を混乱させたり破壊したりすることもできるようになります。こうした攻撃は、軍隊の移動、ジェット戦闘機の進路、軍艦の指揮統制を司る軍事ネットワークの機能を停止させる可能性もあります。[ 285 ]

この結果、 「サイバー戦争」「サイバーテロリズム」といった新しい用語が生まれました。米国サイバーコマンドは2009年に設立され[ 286 ]、他の多くの国も同様の部隊を有しています

サイバーセキュリティが、言われているほど重大な脅威であるかどうかを疑問視する批判的な声もいくつかある。[ 287 ] [ 288 ] [ 289 ]

キャリア

サイバーセキュリティは、組織のハッキングやデータ漏洩のリスクを軽減することに重点を置いた、急成長を遂げているIT分野です。 [ 290 ]エンタープライズ・ストラテジー・グループの調査によると、2016年には組織の46%がサイバーセキュリティスキルの「深刻な不足」を抱えていると回答しており、2015年の28%から増加しています。[ 291 ]民間企業、政府機関、非政府機関のすべてがサイバーセキュリティ専門家を雇用しています。サイバーセキュリティ従事者の需要が最も急速に増加しているのは、金融、医療、小売など、増加する消費者データを管理する業界です。[ 292 ]しかし、 「サイバーセキュリティ」という用語の使用は、政府の職務記述書でより一般的です。[ 293 ]

サイバーセキュリティ関連の職種と内容には以下のものがある: [ 294 ]

セキュリティアナリスト
インフラストラクチャ(ソフトウェア、ハードウェア、ネットワーク)の脆弱性を分析・評価し、利用可能なツールと対策を用いて検出された脆弱性の修復を調査し、解決策とベストプラクティスを推奨します。セキュリティインシデントによるデータ/インフラストラクチャへの損害を分析・評価し、利用可能な復旧ツールとプロセスを検証し、解決策を推奨します。セキュリティポリシーと手順への準拠をテストします。セキュリティソリューションの作成、実装、または管理を支援する場合があります。
セキュリティエンジニア
セキュリティ監視、セキュリティおよびデータ/ログ分析、フォレンジック分析を実施し、セキュリティインシデントを検知し、インシデント対応を実施します。セキュリティ機能の強化と改善策の実施のため、新しいテクノロジーとプロセスを調査・活用します。また、コードレビューやその他のセキュリティエンジニアリング手法の実施も行います。
セキュリティアーキテクト
セキュリティシステムまたはセキュリティシステムの主要コンポーネントを設計し、新しいセキュリティシステムを構築するセキュリティ設計チームを率いることもあります。[ 295 ]
最高情報セキュリティ責任者(CISO)
情報セキュリティ部門/スタッフ全体を管理する上級管理職。実務的な技術業務を含む場合がある。[ 296 ]
最高セキュリティ責任者(CSO)
セキュリティ部門全体/スタッフ全体を統括する上級管理職。セキュリティリスクの増大に伴い、新たな役職が必要とされています。
データ保護責任者(DPO)
DPOは、データ保護法( GDPRなど)、データ保護ポリシー、意識向上、トレーニング、監査の遵守状況を監視する任務を負っています。[ 297 ]
セキュリティコンサルタント/スペシャリスト/インテリジェンス
ウイルス、ワーム、スパイウェア、マルウェア、侵入検知、不正アクセス、サービス拒否攻撃、個人または組織犯罪や外国政府の一員として活動するハッカーによる増え続ける攻撃からコンピューター、ネットワーク、ソフトウェア、データ、または情報システムを保護する任務を負う他の役割またはタイトルのいずれかまたはすべてを網羅する広範なタイトル。

サイバーセキュリティ分野でのキャリアを始めたい人向けの学生向けプログラムも用意されている。[ 298 ] [ 299 ]一方、あらゆる経験レベルの情報セキュリティ専門家が学習を続けるための柔軟で効果的な選択肢として、ウェブキャストを含むオンラインセキュリティトレーニングがある。[ 300 ] [ 301 ]幅広い認定コースも用意されている。[ 302 ]

英国では、政府のサイバーセキュリティ戦略[ 303 ]の支援を受けて、英国サイバーセキュリティフォーラムとして知られる全国規模のサイバーセキュリティフォーラムが設立され、新興企業やイノベーションを奨励し、英国政府によって特定されたスキルギャップ[ 304 ]に対処することを目指しています。

シンガポールでは、サイバーセキュリティ庁がシンガポール運用技術(OT)サイバーセキュリティ能力フレームワーク(OTCCF)を発行しました。このフレームワークは、運用技術(OT)における新たなサイバーセキュリティの役割を定義しています。OTCCFは、情報通信メディア開発庁(IMDA)の承認を受けています。このフレームワークでは、OTサイバーセキュリティの様々な職種と、必要な技術スキルおよびコアコンピテンシーが概説されています。また、垂直的および水平的な昇進機会を含む、利用可能な多くのキャリアパスも示されています。[ 305 ]

用語

コンピュータ セキュリティに関して使用される次の用語について説明します。

暗号化技術は、情報を変換し、スクランブル化することで、送信中に解読不能にします。本来の受信者はメッセージを解読できますが、理想的には盗聴者は解読できません。
  • 暗号化はメッセージの機密性を保護するために使用されます。暗号学的に安全な暗号は、事実上、解読を不可能にするように設計されています。対称鍵暗号は共有鍵を用いたバルク暗号化に適しており、デジタル証明書を用いた公開鍵暗号化は、事前に鍵を共有しない場合に安全な通信を行うという問題に対する実用的な解決策を提供します。
  • エンドポイントセキュリティソフトウェアは、ノートパソコン、モバイルデバイス、USBドライブなどの感染の可能性があるデバイスの普及によって脆弱になるネットワークエントリポイントでのマルウェア感染やデータ盗難を防ぐのにネットワークを支援します。[ 308 ]
  • ファイアウォールはネットワーク間のゲートキーパーシステムとして機能し、定義されたルールに一致するトラフィックのみを許可します。多くの場合、詳細なログ記録機能を備えており、侵入検知機能侵入防止機能を備えている場合もあります。ファイアウォールは企業のローカルエリアネットワークとインターネット間でほぼ普遍的に使用されていますが、ネットワークセグメンテーションが設定されている場合は、ネットワーク間のトラフィックルールを強制するために社内的に使用することもできます。
  • ハッカーは、コンピュータ システムまたはネットワークの防御を突破し、弱点を悪用しようとする人です。
  • ハニーポットとは、クラッカーによる攻撃に対して意図的に脆弱な状態に置かれたコンピュータのことです。クラッカーを捕らえ、その攻撃手法を特定するために利用できます。
  • 侵入検知システムは、ネットワークまたはシステムを監視して悪意のあるアクティビティやポリシー違反を検出するデバイスまたはソフトウェア アプリケーションです。
  • マイクロカーネルは、最高権限レベルで実行されるコードが最小限に抑えられ、デバイス ドライバー、プロトコル スタック、ファイル システムなどのオペレーティング システムの他の要素が、より安全で権限の少ないユーザー スペースで実行されるオペレーティング システム設計のアプローチです。
  • ping。標準的なping アプリケーションを使用して、IP アドレスが使用中かどうかをテストできます。使用中の場合、攻撃者はポートスキャンを試みて、どのサービスが公開されているかを検出する可能性があります。
  • ポートスキャンは、IP アドレスの開いているポートを調査して、アクセス可能なネットワーク サービスとアプリケーションを識別するために使用されます。
  • キーロガー、ユーザーがコンピュータのキーボードで入力した各キーストロークを静かにキャプチャして保存するスパイウェアです。
  • ソーシャル エンジニアリングとは、欺瞞を利用して個人を操作し、セキュリティを侵害することです。
  • ロジック ボムは、正規のプログラムに追加され、特定のイベントによってトリガーされるまで休眠状態にあるマルウェアの一種です。
  • ユニカーネルとは、単一のアプリケーションのみを実行できる最小限のオペレーティングシステム上で実行されるコンピュータプログラムです(複数のアプリケーションを同時に実行できる汎用オペレーティングシステムとは対照的です)。攻撃対象領域を最小限に抑えるこのアプローチは、ソフトウェアが仮想マシンに展開されるクラウド環境で主に採用されています。
  • ゼロ トラスト セキュリティとは、ネットワークの内外を問わず、デフォルトでは誰も信頼されず、ネットワーク上のリソースにアクセスしようとするすべての人に対して検証が求められることを意味します。

歴史

インターネットの登場と近年のデジタル変革の進展により、サイバーセキュリティの概念は、私たちの職業生活と私生活の両方において身近なテーマとなりました。サイバーセキュリティとサイバー脅威は、過去60年間の技術革新の間、常に存在してきました。1970年代と1980年代には、コンピュータセキュリティは主に学術分野に限られていましたが、インターネットが誕生し、接続性が高まるにつれて、コンピュータウイルスやネットワーク侵入が急増し始めました。1990年代にウイルスが蔓延した後、2000年代には分散型サービス拒否攻撃などの組織的な攻撃が制度化されました。[ 309 ]これにより、サイバーセキュリティは専門分野として正式に確立されました。[ 310 ]

1967年4月にウィリス・ウェアが主催した春季合同コンピュータ会議と、その後出版されたウェア報告書は、コンピュータセキュリティ分野の歴史における基礎的な瞬間であった。[ 311 ]ウェアの研究は、物質的、文化的、政治的、社会的な懸念が交差する領域にまたがっていた。[ 311 ]

1977年のNIST出版物[ 312 ]では、主要なセキュリティ目標を明確かつ簡潔に記述する方法として、CIAの機密性、完全性、可用性の3要素を紹介しました。 [ 313 ]これは現在でも有効ですが、その後、より精巧なフレームワークが数多く提案されてきました。[ 314 ] [ 315 ]

しかし、1970年代と1980年代には、コンピュータとインターネットはまだ発展の初期段階にあり、セキュリティ上の脅威は容易に特定できたため、深刻なコンピュータの脅威は存在しませんでした。脅威の多くは、機密文書やファイルに不正アクセスした悪意のある内部関係者によってもたらされました。初期の頃からマルウェアやネットワーク侵入は存在していましたが、金銭的な利益のために利用されることはありませんでした。1970年代後半には、IBMなどの大手コンピュータ企業が商用アクセス制御システムやコンピュータセキュリティソフトウェア製品の提供を開始しました。[ 316 ]

コンピュータネットワークへの攻撃の最も初期の例の一つは、BBNのボブ・トーマスが作成したコンピュータワーム「クリーパー」で、1971年にARPANETを介して拡散しました。 [ 317 ]このプログラムは純粋に実験的な性質を持ち、悪意のあるペイロードは持ちませんでした。その後、レイ・トムリンソンが1972年に作成したプログラム「リーパー」がクリーパーの破壊に使用されました。[ 318 ]

1986年9月から1987年6月にかけて、ドイツのハッカー集団が、記録に残る最初のサイバースパイ活動を実行した。[ 319 ]この集団はアメリカの防衛関連企業、大学、軍事基地のネットワークにハッキングを行い、収集した情報をソ連のKGBに売却した。この集団を率いたのはマルクス・ヘスで、彼は1987年6月29日に逮捕された。彼は1990年2月15日、共謀者2名と共にスパイ活動の罪で有罪判決を受けた。

1988年、最初のコンピュータワームの一つであるモリスワームがインターネット経由で拡散し、主要メディアで大きな注目を集めました。[ 320 ]

Netscape社は、国立スーパーコンピュータ応用研究所(NCSA)が1993年に最初のウェブブラウザであるMosaic 1.0をリリースした直後に、SSLプロトコルの開発を開始しました。 [ 321 ] [ 322 ] Netscape社は1994年にSSLバージョン1.0をリリースしましたが、深刻なセキュリティ上の脆弱性が多数あったため、一般にはリリースされませんでした。[ 321 ]しかし、1995年にNetscape社はバージョン2.0をリリースしました。[ 323 ]

国家安全保障局(NSA)は、米国の情報システムの保護と外国の情報収集を担当している。 [ 324 ]同局は、一般的に使用されているソフトウェアやシステム構成を分析し、セキュリティ上の欠陥を見つけ、米国の競争相手に対する攻撃に利用している。[ 325 ]

NSAの契約業者はクリックアンドシュート攻撃ツールを作成し、米国政府機関や同盟国に販売していたが、最終的にそのツールは外国の敵対勢力に渡った。[ 326 ] 2016年には、NSA自身のハッキングツールがハッキングされ、ロシアと北朝鮮がそれを使用した。[ 327 ] NSAの職員と契約業者は、サイバー戦争で競争することに熱心な敵対勢力に高額の給与で採用されてきた。[ 328 ] 2007年、米国とイスラエルは、 Microsoft Windowsオペレーティングシステムのセキュリティ上の欠陥を悪用し、イランの核物質精製に使用される機器を攻撃して破壊し始めた。イランはこれに応じて、独自のサイバー戦争能力に多額の投資を行い、米国に対してそれを使用し始めた。[ 325 ]

著名な学者

参照

参考文献

  1. ^ Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). 「サイバーセキュリティのより代表的な定義に向けて」 . Journal of Digital Forensics, Security and Law . 12 (2). ISSN  1558-7215 .
  2. ^ブリタニカ百科事典コンピュータセキュリティ
  3. ^ Tate, Nick (2013年5月7日). 「RelianceはICTアマチュアにとって終焉を意味する」 . The Australian .
  4. ^ Kianpour, Mazaher; Kowalski, Stewart; Øverby, Harald (2021). 「サイバーセキュリティ経済学の体系的理解:概説」 . Sustainability . 13 (24) 13677. Bibcode : 2021Sust...1313677K . doi : 10.3390/su132413677 . hdl : 11250/2978306 . ISSN 2071-1050 . 
  5. ^ Stevens, Tim (2018年6月11日). 「グローバルサイバーセキュリティ:理論と手法の新たな方向性」(PDF) . Politics and Governance . 6 (2): 1– 4. doi : 10.17645/pag.v6i2.1569 . 2019年9月4日時点のオリジナルよりアーカイブ(PDF) .
  6. ^ 「CVEプログラムについて」 www.cve.org 20234月12日閲覧
  7. ^ Zlatanov, Nikola (2015年12月3日).コンピュータセキュリティとモバイルセキュリティの課題. テックセキュリティカンファレンス サンフランシスコ(カリフォルニア州)
  8. ^ “Ghidra” . nsa.gov . 2018年8月1日. 2020年8月15日時点のオリジナルよりアーカイブ2020年8月17日閲覧。
  9. ^ Larabel, Michael (2017年12月28日). 「Syzbot: GoogleがLinuxカーネルを継続的にファジング」 . www.phoronix.com/ . 2021年3月25日閲覧
  10. ^ a b c「中小企業へのサイバー攻撃:現状と予防方法」 crowdstrike.com . 2023年11月30日閲覧
  11. ^ a b「2023年サイバーセキュリティ侵害調査」 GOV.UK. 202311月30日閲覧
  12. ^ a b「サイバー攻撃の仕組み」www.ncsc.gov.uk . 2023年11月30日閲覧
  13. ^ 「バックドア攻撃とは?定義と予防 | NordVPN」 nordvpn.com 2023年11月30日. 2024年1月3日閲覧
  14. ^ a b「バックドア攻撃とは何か?」マカフィー. 2023年12月4日. 2023年12月4日閲覧
  15. ^ a b c「サービス拒否 (DoS) ガイダンス」www.ncsc.gov.uk 2023 年12 月 4 日に取得
  16. ^ 「コンピュータセキュリティ」www.interelectronix.com . 2023年11月30日閲覧
  17. ^ a b「DMA攻撃とは何か?分析と緩和策」 Kroll . 2023年12月4日閲覧
  18. ^ a b「盗聴攻撃とは何か?」Fortinet . 2023年12月5日閲覧
  19. ^ヨーク、ダン(2010年1月1日)、ヨーク、ダン(編)、「第3章 盗聴と改ざん」7つの最悪の統合コミュニケーション攻撃、ボストン:シンクレス、pp.  41– 69、ISBN 978-1-59749-547-9、 2023年12月5日閲覧{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  20. ^ 「盗聴攻撃とは何か、そしてそれを防ぐ方法」 Verizon Enterprise . 2023年12月5日閲覧
  21. ^ a b c d e f「マルウェアとは? | IBM」 www.ibm.com 2022年4月14日. 2023年12月6日閲覧
  22. ^ Bendovschi, Andreea (2015). サイバー攻撃 ― 傾向、パターン、そしてセキュリティ対策」 Procedia Economics and Finance 28 : 24–31 . doi : 10.1016/S2212-5671(15)01077-1 .
  23. ^ 「マルウェアとは?」マカフィー. 2023年11月30日閲覧
  24. ^ a b「中間者攻撃とは何か、そして組織をどのように保護できるか?verizon.com
  25. ^ 「マルチベクトル攻撃にはマルチベクトル保護が必要」 MSSPアラート2017年7月24日。
  26. ^ Millman, Renee (2017年12月15日). 「新たなポリモーフィック型マルウェア、AVスキャナーの4分の3を回避」 . SC Magazine UK . 2018年6月14日時点のオリジナルよりアーカイブ。 2018年7月13日閲覧
  27. ^ a b c Tounsi, Wiem (2019年5月15日)、Tounsi, Wiem (編)、「サイバー脅威インテリジェンスとは何か、そしてどのように進化しているのか?」サイバー・ビジランス・アンド・デジタル・トラスト(第1版)、Wiley、pp.  1– 49、doi : 10.1002/9781119618393.ch1ISBN 978-1-78630-448-3, S2CID  187294508 , 2023年12月6日閲覧{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  28. ^ 「フィッシング攻撃の特定」。事件誌。2015年9月13日時点のオリジナルよりアーカイブ2016年7月4日閲覧。
  29. ^ 「フィッシングから身を守る – Microsoft サポート」support.microsoft.com . 2023年12月6日閲覧
  30. ^ Lazarus, Ari (2018年2月23日). 「フィッシング詐欺師が偽の請求書を送る」 .消費者情報. 2020年2月17日閲覧。
  31. ^ “Email Security” . Trellix . 2022年5月17日. 2022年5月22日時点のオリジナルよりアーカイブ。 2022年10月24日閲覧
  32. ^ a b c d「特権エスカレーションとは? – CrowdStrike」crowdstrike.com . 2023年12月7日閲覧
  33. ^ Spence, Aaron; Bangay, Shaun (2022年6月). 「サイバーセキュリティを超えたセキュリティ:非サイバーシステムに対するサイドチャネル攻撃とその対策」 . International Journal of Information Security . 21 (3): 437– 453. doi : 10.1007/s10207-021-00563-6 . ISSN 1615-5262 . 
  34. ^ Arcos Sergio. 「ソーシャルエンジニアリング」(PDF) . upc.edu . 2013年12月3日時点のオリジナルよりアーカイブ(PDF) . 2019年4月16日閲覧
  35. ^ Scannell, Kara (2016年2月24日). 「CEOメール詐欺、企業に20億ドルの損害」 . Financial Times . 2016年2月25日号. 2016年6月23日時点のオリジナルよりアーカイブ。 2016年5月7日閲覧
  36. ^ 「バックス、メール詐欺で選手と従業員の税務情報を漏洩」 AP通信、2016年5月20日。2016年5月20日時点のオリジナルよりアーカイブ。 2016年5月20日閲覧
  37. ^ 「スプーフィングとは何か? - Techopediaの定義」techopedia.com2016年6月30日時点のオリジナルよりアーカイブ2022年1月16日閲覧
  38. ^バターフィールドアンドリュー、ンゴンディ、ジェラール・エケンベ編(2016年1月21日)。スプーフィング」『コンピュータサイエンス辞典』オックスフォード大学出版局。doi : 10.1093/acref/9780199688975.001.0001。ISBN 978-0-19-968897-5. 2017年10月8日閲覧
  39. ^マルセル・セバスチャン、ニクソン・マーク、リー・スタン編 (2014). 『生体認証スプーフィング対策ハンドブック:スプーフィング攻撃下における信頼できる生体認証』コンピュータビジョンとパターン認識の進歩 ロンドン: シュプリンガー. doi : 10.1007/978-1-4471-6524-8 . ISBN 978-1-4471-6524-8ISSN  2191-6594LCCN  2014942635S2CID  27594864
  40. ^ 「5秒以内に80から0へ:医療患者のバイタルサインを偽造」 www.trellix.com 20232月9日閲覧
  41. ^ギャラガー、ショーン (2014年5月14日). 「NSAの「アップグレード」工場の写真、Ciscoルーターにインプラントが仕掛けられていることを明らかに」 Ars Technica . 2014年8月4日時点のオリジナルよりアーカイブ。 2014年8月3日閲覧
  42. ^ a b Intelligence、Microsoft Threat (2021年11月11日). 「HTML密輸の急増:バンキングマルウェアや標的型攻撃で、高度な回避機能を持つローダー技術がますます利用されている」 . Microsoft Security Blog . 2023年12月7日閲覧
  43. ^ 「難読化されたファイルまたは情報:HTMLスマグリング、サブテクニックT1027.006 - エンタープライズ | MITRE ATT&CK®」 . attack.mitre.org . 2023年2月22日閲覧
  44. ^ Lim, Joo S.; Chang, Shanton; Maynard, Sean; Ahmad, Atif (2009). 「組織文化と情報セキュリティ文化の関係性の探究」 .第7回オーストラリア情報セキュリティマネジメント会議議事録. エディスコーワン大学セキュリティ研究所(SRI). doi : 10.4225/75/57B4065130DEF .
  45. ^ライマーズ、カール、アンダーソン、デイヴィッド (2017).高等教育におけるネットワークセキュリティ:エンドユーザーの課題と進化する脅威. ICERI2017 Proceedings. 第1巻. IATED. pp.  1787– 1796. doi : 10.21125/iceri.2017.0554 . ISBN 978-84-697-6957-7. ISSN  2340-1095 .
  46. ^ Verizonデータ漏洩調査報告書2020 (PDF) verizon.com (レポート). 2020年5月19日時点のオリジナルよりアーカイブ(PDF) 2021年9月17日閲覧
  47. ^ a b c Schlienger, Thomas; Teufel, Stephanie (2003). 「情報セキュリティ文化:分析から変革へ」. South African Computer Journal . 31 : 46–52 . hdl : 10520/EJC27949 .
  48. ^インターネットセキュリティ用語集. doi : 10.17487/RFC2828 . RFC 2828 .
  49. ^ 「CNSS指令第4009号」(PDF) 2010年4月26日. 2012年2月27日時点のオリジナル(PDF)からのアーカイブ
  50. ^ 「InfosecToday用語集」(PDF)2014年11月20日時点のオリジナルよりアーカイブ(PDF) 。
  51. ^ 「サイバーセキュリティ設計原則」 www.ncsc.gov.uk 202312月11日閲覧
  52. ^ a b「NCSCのセキュリティアーキテクチャに関する考え方」 www.ncsc.gov.uk 202312月18日閲覧
  53. ^ 「セキュアシステムアーキテクチャと設計」英国サイバーセキュリティ評議会、2024年。 2024年1月4日閲覧
  54. ^ 「セキュリティアーキテクチャ – 用語集 | CSRC」 . csrc.nist.gov . 2023年12月18日閲覧
  55. ^ Jannsen, Cory. 「セキュリティアーキテクチャ」 . Techopedia . Janalta Interactive Inc. 2014年10月3日時点のオリジナルよりアーカイブ2014年10月9日閲覧。
  56. ^ a b Oppliger, Rolf (1997年5月1日). 「インターネットセキュリティ:ファイアウォールとその先」 Communications of the ACM . 40 (5): 92–102 . doi : 10.1145/253769.253802 . ISSN 0001-0782 . 
  57. ^ 「サイバーセキュリティ意識を高める方法」 ISACA 20232月25日閲覧
  58. ^ Woodie, Alex (2016年5月9日). 「ONIが今、サイバーセキュリティにとって最大の希望となる理由」 . 2016年8月20日時点のオリジナルよりアーカイブ2016年7月13日閲覧。
  59. ^ Walkowski, Debbie (2019年7月9日). 「CIAトライアドとは何か?」 F5 Labs . 2020年2月25日閲覧
  60. ^ 「データ資産の価値を知ることはサイバーセキュリティリスク管理に不可欠 | SecurityWeek.Com」 www.securityweek.com 2018年12月3日2020年2月25日閲覧
  61. ^フォアマン・パーク(2009年)『脆弱性管理』ボカラトン、フロリダ州:アウアーバッハ出版、p.1、ISBN 978-1-4398-0150-5
  62. ^ Johnson, A. (2018). CCNA サイバーセキュリティ運用コンパニオンガイド. Cisco Press. ISBN 978-0-13-516624-6
  63. ^ Calder, Alan; Williams, Geraint (2014). PCI DSS: ポケットガイド(第3版). IT Governance Limited. ISBN 978-1-84928-554-4少なくとも四半期ごと、およびネットワークに大きな変更があった場合にはネットワーク脆弱性スキャンを実施
  64. ^ Harrison, J. (2003). Intelにおける形式検証. 第18回IEEEコンピュータサイエンスにおける論理シンポジウム, 2003. Proceedings. pp.  45– 54. doi : 10.1109/LICS.2003.1210044 . ISBN 978-0-7695-1884-8. S2CID  44585546 .
  65. ^ Umrigar, Zerksis D.; Pitchumani, Vijay (1983).リアルタイムハードウェア設計の形式検証. Proceeding DAC '83 Proceedings of the 20th Design Automation Conference. IEEE Press. pp.  221– 227. ISBN 978-0-8186-0026-5
  66. ^ 「seL4/ARMv6 APIの抽象形式仕様」(PDF) 。 2015年5月21日時点のオリジナル(PDF)からアーカイブ2015年5月19日閲覧。
  67. ^ Baumann, Christoph; Beckert, Bernhard; Blasum, Holger; Bormer, Thorsten.オペレーティングシステムの正しさの構成要素? PikeOSの形式検証から学んだ教訓(PDF) 。Embedded World Conference、ニュルンベルク、ドイツ。2011年7月19日時点のオリジナル(PDF)からのアーカイブ
  68. ^ガンスル、ジャック. 「Getting it Right」 . 2013年5月4日時点のオリジナルよりアーカイブ
  69. ^ 「SOCアナリストとしてのキャリアに必要なすべて」 www.cybersecurityjobsite.com 202312月19日閲覧
  70. ^ CISM、ジョン・リッティングハウス博士; CISM、ウィリアム・M・ハンコック博士(CISSP)(2003年10月2日)。サイバーセキュリティ運用ハンドブック。デジタルプレス。436-437ページ。ISBN 978-0-08-053018-5. 2025年9月4日閲覧
  71. ^ 「2段階認証(2SV)をオンにする」 www.ncsc.gov.uk . 202312月19日閲覧。
  72. ^ 「NCSCの職員向けサイバーセキュリティ研修が開始」 www.ncsc.gov.uk 202312月19日閲覧
  73. ^ Treglia, J.; Delia, M. (2017).サイバーセキュリティ予防接種. NYSサイバーセキュリティ会議, エンパイアステートプラザコンベンションセンター, ニューヨーク州アルバニー, 6月3日~4日.
  74. ^ 「ライセンスドングルとは?」 www.revenera.com 20246月12日閲覧
  75. ^ 「トークンベースの認証」 SafeNet.com。2014年3月20日時点のオリジナルよりアーカイブ2014年3月20日閲覧。
  76. ^ 「Windows PCをロックして保護する」 TheWindowsClub.com、2010年2月10日。2014年3月20日時点のオリジナルよりアーカイブ。 2014年3月20日閲覧
  77. ^ Greene, James (2012). 「Intel Trusted Execution Technology: White Paper」(PDF) . Intel Corporation. 2014年6月11日時点のオリジナルよりアーカイブ(PDF) . 2013年12月18日閲覧
  78. ^ "SafeNet ProtectDrive 8.4" . SCMagazine.com . 2008年10月4日. 2014年3月20日時点のオリジナルよりアーカイブ。 2014年3月20日閲覧
  79. ^ 「Secure Hard Drives: Lock Down Your Data」 PCMag.com、2009年5月11日。2017年6月21日時点のオリジナルよりアーカイブ。
  80. ^ Souppaya, Murugiah P.; Scarfone, Karen (2013). 「企業におけるモバイルデバイスのセキュリティ管理に関するガイドライン」 .米国国立標準技術研究所. 特別出版物 (NIST SP). メリーランド州ゲイサーズバーグ. doi : 10.6028/NIST.SP.800-124r1 .
  81. ^ 「アクセス制御統計:傾向と洞察」 2024年2月23日。 2024年4月26日閲覧
  82. ^ 「IDは忘れて、携帯電話を認証情報として使おう」 Fox Business Network 2013年11月4日. 2014年3月20日時点のオリジナルよりアーカイブ。 2014年3月20日閲覧
  83. ^ 「Macコンピューターのダイレクトメモリアクセス保護」 Apple 202211月16日閲覧
  84. ^ 「UEFIファームウェアにおけるDMA保護のためのIOMMUの使用」(PDF)。Intel Corporation。2021年12月9日時点のオリジナルよりアーカイブ(PDF) 。 2022年11月16日閲覧
  85. ^ Babaei, Armin; Schiele, Gregor; Zohner, Michael (2022年7月26日). 「FPGAベースIoTデバイス向けPUFに基づく再構成可能セキュリティアーキテクチャ(RESA)」 . Sensors . 22 ( 15): 5577. Bibcode : 2022Senso..22.5577B . doi : 10.3390/s22155577 . ISSN 1424-8220 . PMC 9331300. PMID 35898079 .   
  86. ^ Hassija, Vikas; Chamola, Vinay; Gupta, Vatsal; Jain, Sarthak; Guizani, Nadra (2021年4月15日). 「サプライチェーンセキュリティに関する調査:適用分野、セキュリティ脅威、ソリューションアーキテクチャ」. IEEE Internet of Things Journal . 8 (8): 6222– 6246. Bibcode : 2021IITJ....8.6222H . doi : 10.1109/JIOT.2020.3025775 . ISSN 2327-4662 . S2CID 226767829 .  
  87. ^ 「最も安全なOS:最も安全なOSとは?」 Tech.co . 2023年12月19日閲覧
  88. ^ Sanghavi, Alok (2010年5月21日). 「形式検証とは何か?」EE Times_Asia .
  89. ^ Ferraiolo, DF & Kuhn, DR (1992年10月). 「ロールベースアクセス制御」(PDF) .第15回全米コンピュータセキュリティ会議: 554–563 .
  90. ^ Sandhu, R; Coyne, EJ; Feinstein, HL; Youman, CE (1996年8月). 「ロールベースアクセス制御モデル」(PDF) . IEEE Computer . 29 (2): 38– 47. Bibcode : 1996Compr..29b..38S . CiteSeerX 10.1.1.50.7649 . doi : 10.1109/2.485845 . S2CID 1958270 .  
  91. ^ Abreu, Vilmar; Santin, Altair O.; Viegas, Eduardo K.; Stihler, Maicon (2017).マルチドメインロールアクティベーションモデル(PDF) . 2017 IEEE International Conference on Communications (ICC). IEEE Press. pp.  1– 6. doi : 10.1109/ICC.2017.7997247 . ISBN 978-1-4673-8999-0. S2CID  6185138 .
  92. ^ AC O'Connor & RJ Loomis (2002).ロールベースアクセス制御の経済分析(PDF) . リサーチトライアングル研究所. p. 145.
  93. ^ 「調査により、ユーザーがセキュリティチェーンにおける最も脆弱なリンクであることが再び証明された」 CSO Online、2014年1月22日。 2018年10月8日閲覧
  94. ^ 「セキュリティ攻撃の成功におけるヒューマンエラーの役割」 IBM Security Intelligence 2014年9月2日. 2018年10月8日閲覧
  95. ^ 「セキュリティインシデントの90%はPEBKACおよびID10Tエラーに起因する」 Computerworld 2015年4月15日。 2018年10月8日閲覧
  96. ^ 「2FAでオンラインバンキングを保護しましょう」ニュージーランド銀行協会。2018年10月7日。 2020年1月21日時点のオリジナルよりアーカイブ2019年9月7日閲覧。
  97. ^ 「IBM Security Services 2014 サイバーセキュリティインテリジェンスインデックス」(PDF) . PcSite . 2014 . 2020年10月9日閲覧
  98. ^ Caldwell, Tracey (2013年2月12日). 「リスクの高いビジネス:従業員にとってセキュリティ意識が重要な理由」 . The Guardian . 2018年10月8日閲覧
  99. ^ 「安全保障文化の発展」。CPNI – 国家インフラ保護センター2018年10月9日時点のオリジナルよりアーカイブ。 2018年10月8日閲覧
  100. ^ a b「サイバー衛生 - ENISA」 。 2018年9月27日閲覧
  101. ^ a b Kaljulaid, Kersti (2017年10月16日). 「アフテンポステン技術会議における共和国大統領」 . 2018年9月27日閲覧
  102. ^ 「サイバーセキュリティ侵害調査2023」 GOV.UK 202312月27日閲覧
  103. ^クヒラー、ハンナ(2015年4月27日)「セキュリティ担当者が企業に『サイバー衛生』の改善を呼びかけ」.フィナンシャル・タイムズ. 2022年12月10日時点のオリジナルよりアーカイブ。 2018年9月27日閲覧
  104. ^ 「AIからロシアまで、エストニア大統領の未来計画」 Wired . 2018年9月28日閲覧
  105. ^レン・エイドルマン教授が「コンピュータウイルス」という用語の由来を語る . WeLiveSecurity . 2017年11月1日. 2018年9月28日閲覧
  106. ^ 「ヴィントン・G・サーフ博士の声明」 www.jec.senate.gov 20189月28日閲覧
  107. ^ Congress.gov2017 年サイバー衛生促進法
  108. ^ 「分析 | サイバーセキュリティ202:トランプ大統領がサイバーセキュリティを優先すると公約したにもかかわらず、政府機関は基本的なサイバーセキュリティに苦戦」ワシントン・ポスト2018年9月28日閲覧
  109. ^ 「Protected Voices」連邦捜査局。 2018年9月28日閲覧
  110. ^ Lin, Tom CW (2017年7月3日). 「新たな市場操作」.エモリー・ロー・ジャーナル. 66 : 1253. SSRN 2996896 . 
  111. ^リン、トム・CW (2016). 「戦争における金融兵器」ミネソタ法レビュー. SSRN 2765010 . 
  112. ^ Cole, Jeffrey I.; Suman, Michael; Schramm, Phoebe; van Bel, Daniel; Lunn, B.; Maguire, Phyllisane; Hanson, Koran; Singh, Rajesh; Aquino, Jedrix-Sean; Lebo, Harlan (2000). The UCLA Internet report: Surveying the digital future (PDF) . ccp.ucla.edu (レポート). 2003年4月23日時点のオリジナル(PDF)からアーカイブ。 2023年9月15日閲覧
  113. ^ Pagliery, Jose (2014年11月18日). 「ハッカーが今年、米国の電力網を79回攻撃」 . CNN Money . ケーブルニュースネットワーク. 2015年2月18日時点のオリジナルよりアーカイブ。 2015年4月16日閲覧
  114. ^ Neumann, PG (1997).航空におけるコンピュータセキュリティ:脆弱性、脅威、リスク. 21世紀の航空安全とセキュリティに関する国際会議、ホワイトハウス安全セキュリティ委員会.
  115. ^ディリンガム、ジェラルド・L. (2001年9月20日). 「航空セキュリティ:テロ行為は国内空港のセキュリティ強化の緊急の必要性を示している(報告書)」アメリカ合衆国会計検査院.
  116. ^ 「航空管制システムの脆弱性により、危険な空域に陥る可能性がある [Black Hat] – SecurityWeek.Com」 2012年7月27日。2015年2月8日時点のオリジナルよりアーカイブ。
  117. ^ 「ハッカー、機内Wi-Fiを使って飛行機のシステムに侵入できると主張」 NPR 2014年8月4日。2015年2月8日時点のオリジナルよりアーカイブ。 2020年3月19日閲覧
  118. ^ Finkle, Jim (2014年8月4日). 「ハッカー、旅客機がサイバー攻撃の危険にさらされていることを示すよう指示」ロイター. 2015年10月13日時点のオリジナルよりアーカイブ。 2021年11月21日閲覧
  119. ^ Cesar, Alan (2023年12月15日). 「オンラインコースが航空業界のサイバーセキュリティを強化」 . Aerogram . パデュー大学航空宇宙学部. 2024年1月9日閲覧
  120. ^ 「Pan-European Network Services (PENS) – Eurocontrol.int」2016年12月12日時点のオリジナルよりアーカイブ。
  121. ^ 「Centralised Services: NewPENS moves forward – Eurocontrol.int」Eurocontrol2016年1月17日。2017年3月19日時点のオリジナルよりアーカイブ。
  122. ^ 「NextGen Data Communication」 FAA。2015年3月13日時点のオリジナルよりアーカイブ2017年6月15日閲覧。
  123. ^ 「e-Passports | 国土安全保障省」www.dhs.gov . 2023年2月3日閲覧
  124. ^ 「オーストラリアのeパスポート。オーストラリア政府外務貿易省ウェブサイト」 。 2015年1月9日時点のオリジナルよりアーカイブ2023年5月1日閲覧。
  125. ^ a b「あなたの腕時計やサーモスタットはスパイ?サイバーセキュリティ企業が対応」 NPR 2014年8月6日。2015年2月11日時点のオリジナルよりアーカイブ。
  126. ^オニール、ステファニー(2018年11月19日)「保険会社がフィットネストラッカーに割引を提供しているが、着用者は注意が必要」NPR2025年10月10日閲覧
  127. ^ Kruse, CB; Smith, B; Vanderlinden, H; Nealand, A (2017年7月21日). 「電子医療記録のセキュリティ技術」 . Journal of Medical Systems . 41 (8): 127. doi : 10.1007/s10916-017-0778-4 . PMC 5522514. PMID 28733949 .  
  128. ^ Backman, Melvin (2014年9月18日). 「ホーム・デポ:5,600万枚のカードが漏洩」 . CNNMoney . 2014年12月18日時点のオリジナルよりアーカイブ。
  129. ^ 「ステープルズ:116万件の顧客のカードが侵害の被害に遭った可能性」 Fortune.com 2014年12月19日。2014年12月21日時点のオリジナルよりアーカイブ。 2014年12月21日閲覧
  130. ^ 「ターゲット:4000万枚のクレジットカードが不正アクセスされる」 CNN 2013年12月19日。2017年12月1日時点のオリジナルよりアーカイブ。 2017年11月29日閲覧
  131. ^ Cowley, Stacy (2017年10月2日). 「Equifaxの情報漏洩で250万人以上が潜在的に危険にさらされる」 . The New York Times . 2017年12月1日時点のオリジナルよりアーカイブ。 2017年11月29日閲覧
  132. ^フィンクル、ジム (2014年4月23日). 「独占:FBI、医療セクターにサイバー攻撃の脆弱性を警告」ロイター. 2016年6月4日時点のオリジナルよりアーカイブ2016年5月23日閲覧
  133. ^ Seals, Tara (2015年11月6日). 「従業員のセキュリティトレーニング不足が米国企業を悩ませている」 . Infosecurity Magazine . 2017年11月9日時点のオリジナルよりアーカイブ。 2017年11月8日閲覧
  134. ^ Bright, Peter (2011年2月15日). 「Anonymous speaks: the inside story of the HBGary hack」 . Arstechnica.com. 2011年3月27日時点のオリジナルよりアーカイブ。 2011年3月29日閲覧
  135. ^アンダーソン、ネイト (2011年2月9日). 「一人の男がアノニマスを追跡し、多大な犠牲を払った方法」 . Arstechnica.com. 2011年3月29日時点のオリジナルよりアーカイブ。 2011年3月29日閲覧
  136. ^ Palilery, Jose (2014年12月24日). 「ソニーのハッキング事件の原因:今わかっていること」 . CNN Money . 2015年1月4日時点のオリジナルよりアーカイブ。 2015年1月4日閲覧
  137. ^ Cook, James (2014年12月16日). 「ソニーのハッカーは100テラバイト以上の文書を保有。これまでに公開されたのは200ギガバイトのみ」 . Business Insider . 2014年12月17日時点のオリジナルよりアーカイブ。 2014年12月18日閲覧
  138. ^ a b Lee, Timothy B. (2015年1月18日). 「ハッキングの次のフロンティア:あなたの車」 . Vox . 2017年3月17日時点のオリジナルよりアーカイブ。
  139. ^追跡とハッキング:セキュリティとプライバシーのギャップがアメリカのドライバーを危険にさらす(PDF)(レポート)。2015年2月6日。 2016年11月9日時点のオリジナルよりアーカイブ(PDF) 。 2016年11月4日閲覧
  140. ^ 「サイバーセキュリティ専門家:企業がこの問題を真剣に受け止めるには『大きな出来事』が必要」 AOL.com 2017年1月5日。2017年1月20日時点のオリジナルよりアーカイブ。 2017年1月22日閲覧
  141. ^ 「自動運転車の問題点:誰がコードを管理しているのか?」ガーディアン、2015年12月23日。2017年3月16日時点のオリジナルよりアーカイブ。 2017年1月22日閲覧
  142. ^ Checkoway, Stephen; McCoy, Damon; Kantor, Brian ; Anderson, Danny; Shacham, Hovav; Savage, Stefan ; Koscher, Karl; Czeskis, Alexei; Roesner, Franziska; Kohno, Tadayoshi (2011).自動車攻撃対象領域の包括的実験分析(PDF) . SEC'11 Proceedings of the 20th USENIX conference on Security. Berkeley, California, US: USENIX Association. p. 6. 2015年2月21日時点のオリジナルよりアーカイブ(PDF) 。
  143. ^ Greenberg, Andy (2015年7月21日). 「ハッカーが高速道路上のジープを遠隔操作で停止させる ― 乗っていたのは私だけ」 Wired . 2017年1月19日時点のオリジナルよりアーカイブ。 2017年1月22日閲覧
  144. ^ 「ハッカーが車を乗っ取り、溝に突っ込む」 The Independent、2015年7月22日。2017年2月2日時点のオリジナルよりアーカイブ。 2017年1月22日閲覧
  145. ^ 「テスラ、中国のハッカーによる車の遠隔操作を許していたソフトウェアバグを修正」 The Telegraph、2016年9月21日。2017年2月2日時点のオリジナルよりアーカイブ。 2017年1月22日閲覧
  146. ^ Kang, Cecilia (2016年9月19日). 「自動運転車に強力な味方:政府」 .ニューヨーク・タイムズ. 2017年2月14日時点のオリジナルよりアーカイブ。 2017年1月22日閲覧
  147. ^ 「連邦自動運転車両政策」(PDF)2017年1月21日時点のオリジナルよりアーカイブ(PDF) 。 2017年1月22日閲覧
  148. ^ 「車両のサイバーセキュリティ」nhtsa.gov . 2022年11月25日閲覧
  149. ^ 「タレス、メキシコ4州にスマート運転免許証を供給」タレスグループ
  150. ^ 「サプライチェーン管理にRFIDを活用している4社」atlasRFIDstore . 2023年2月3日閲覧
  151. ^ 「製造・流通におけるRFID技術とアプリケーションの最先端」サプライチェーンマーケット
  152. ^ Rahman, Mohammad Anwar; Khadem, Mohammad Miftaur; Sarder, MD.サプライチェーンシステムにおけるRFIDの応用. 2010年国際産業工学・オペレーションズマネジメント会議議事録、ダッカ、バングラデシュ、2010年1月9日~10日. CiteSeerX 10.1.1.397.7831 . 
  153. ^ 「ゲイリー・マッキノンのプロフィール:14歳でコンピュータプログラムを書き始めた自閉症の『ハッカー』」デイリー​​・テレグラフ、ロンドン、2009年1月23日。2010年6月2日時点のオリジナルよりアーカイブ。
  154. ^ 「ゲイリー・マッキノンの引渡し判決は10月16日までに下される」BBCニュース、2012年9月6日。2012年9月6日時点のオリジナルよりアーカイブ2012年9月25日閲覧。
  155. ^ Mckinnon対アメリカ合衆国政府およびその他(貴族院、2008年6月16日)(「15. ...総額70万ドルを超えると主張」)、本文
  156. ^ 「米国のスパイ活動に関する新たなリーク:NSAがメキシコ大統領の電子メールにアクセス」 SPIEGEL ONLINE 2013年10月20日。 2015年11月6日時点のオリジナルよりアーカイブ。
  157. ^サンダース、サム(2015年6月4日)「大規模データ侵害で400万人の連邦職員の記録が危険にさらされる」NPR2015年6月5日時点のオリジナルよりアーカイブ2015年6月5日閲覧
  158. ^ケビン・リップタック(2015年6月4日)「米政府ハッキング、連邦政府は中国が犯人と考えている」 CNN 2015年6月6日時点のオリジナルよりアーカイブ。 2015年6月5日閲覧
  159. ^ギャラガー、ショーン。「OPMでの暗号化は「役に立たなかった」とDHS職員が語る」2017年6月24日時点のオリジナルよりアーカイブ。
  160. ^ Davis, Michelle R. (2015年10月19日). 「学校はセキュリティ侵害から教訓を学ぶ」 . Education Week . 2016年6月10日時点のオリジナルよりアーカイブ。 2016年5月23日閲覧
  161. ^ 「Internet of Things Global Standards Initiative」ITU2015年6月26日時点のオリジナルよりアーカイブ2015年6月26日閲覧
  162. ^ Singh, Jatinder; Pasquier, Thomas; Bacon, Jean; Ko, Hajoon; Eyers, David (2015). 「モノのインターネットを支えるクラウドセキュリティの20の考慮事項」(PDF) . IEEE Internet of Things Journal . 3 (3): 269– 284. doi : 10.1109/JIOT.2015.2460333 . S2CID 4732406 . 
  163. ^ Clearfield, Chris. 「なぜFTCはモノのインターネットを規制できないのか」 Forbes . 2015年6月27日時点のオリジナルよりアーカイブ。 2015年6月26日閲覧
  164. ^ 「モノのインターネット:SFかビジネスの真実か?」(PDF)ハーバード・ビジネス・レビュー2015年3月17日時点のオリジナルよりアーカイブ(PDF)2016年11月4日閲覧
  165. ^ Vermesan, Ovidiu; Friess, Peter. 「Internet of Things: Converging Technologies for Smart Environments and Integrated Ecosystems」(PDF) . River Publishers. 2016年10月12日時点のオリジナルよりアーカイブ(PDF) . 2016年11月4日閲覧
  166. ^ Clearfield, Chris (2013年6月20日). 「モノのインターネットのセキュリティ再考」 .ハーバード・ビジネス・レビュー. 2013年9月20日時点のオリジナルよりアーカイブ。
  167. ^ 「ホテルの部屋の強盗、電子ドアロックの重大な欠陥を悪用」 Ars Technica、2012年11月26日。2016年5月14日時点のオリジナルよりアーカイブ。 2016年5月23日閲覧
  168. ^ 「病院の医療機器がサイバー攻撃の武器として利用される」 Dark Reading、2015年8月6日。2016年5月29日時点のオリジナルよりアーカイブ2016年5月23日閲覧。
  169. ^カーク、ジェレミー (2012年10月17日). 「ペースメーカーのハックで致命的な830ボルトの電流が流れる可能性」 Computerworld . 2016年6月4日時点のオリジナルよりアーカイブ。 2016年5月23日閲覧
  170. ^ 「ペースメーカーがハッキングされる仕組み」 The Daily Beast、Kaiser Health News、2014年11月17日。2016年5月20日時点のオリジナルよりアーカイブ2016年5月23日閲覧。
  171. ^ Leetaru, Kalev. 「病院へのハッキングと人質確保:2016年のサイバーセキュリティ」 Forbes . 2016年12月29日時点のオリジナルよりアーカイブ。 2016年12月29日閲覧
  172. ^ a b "サイバーアングリフ: クランケンホイザーの攻撃者、ハッカーの監視者" .ヴィルシャフト・ウォッヘ。 2016年12月7日。 2016年12月29日のオリジナルからアーカイブ2016 年12 月 29 日に取得
  173. ^ 「病院がランサムウェアの攻撃を受け続ける理由」 Business Insider . 2016年12月29日時点のオリジナルよりアーカイブ。 2016年12月29日閲覧
  174. ^ 「メドスター病院、『ランサムウェア』ハッキングから復旧」 NBCニュース、2016年3月31日。2016年12月29日時点のオリジナルよりアーカイブ。 2016年12月29日閲覧
  175. ^ Pauli, Darren. 「米国の病院が古代の脆弱性を利用してハッキングされる」 The Register . 2016年11月16日時点のオリジナルよりアーカイブ。 2016年12月29日閲覧
  176. ^ Pauli, Darren. 「ゾンビOSがロイヤルメルボルン病院でウイルス拡散」 The Register . 2016年12月29日時点のオリジナルよりアーカイブ。 2016年12月29日閲覧
  177. ^ 「ハッキングされたリンカンシャー病院のコンピュータシステムが「復旧」"。BBCニュース。2016年11月2日。2016年12月29日時点のオリジナルよりアーカイブ。 2016年12月29日閲覧
  178. ^ 「リンカンシャー作戦、ネットワーク攻撃後に中止」 BBCニュース、2016年10月31日。2016年12月29日時点のオリジナルよりアーカイブ。 2016年12月29日閲覧
  179. ^ 「Legionのサイバー攻撃:次のダンプはsansad.nic.inだとハッカーは言う」 The Indian Express、2016年12月12日。2016年12月29日時点のオリジナルよりアーカイブ。 2016年12月29日閲覧
  180. ^ 「ニューハンプシャー精神病院の元患者、データ漏洩で告発される」 CBSボストン、2016年12月27日。2017年9月29日時点のオリジナルよりアーカイブ。 2016年12月29日閲覧
  181. ^ 「テキサス病院がハッキングされ、約3万件の患者記録に影響」。ヘルスケアITニュース。2016年11月4日。2016年12月29日時点のオリジナルよりアーカイブ。 2016年12月29日閲覧
  182. ^ベッカー、レイチェル(2016年12月27日)「医療機器向けの新たなサイバーセキュリティガイドライン:進化する脅威に対応」 The Verge2016年12月28日時点のオリジナルよりアーカイブ。 2016年12月29日閲覧
  183. ^ 「医療機器におけるサイバーセキュリティの市販後管理」(PDF) .食品医薬品局. 2016年12月28日.オリジナル(PDF)から2016年12月29日時点のアーカイブ。 2016年12月29日閲覧
  184. ^ Brandt, Jaclyn (2018年6月18日). 「DC分散型エネルギー提案、サイバーセキュリティリスクの増大を懸念」 Daily Energy Insider . 2018年7月4日閲覧
  185. ^ 「現在のリリース - The Open Mobile Alliance」。openmobilealliance.org
  186. ^ Cashell, B.; Jackson, WD; Jickling, M.; Webel, B. (2004).サイバー攻撃の経済的影響(PDF) (報告書). ワシントンD.C.: 議会調査局 政府財政局. RL32331.
  187. ^ Gordon, Lawrence; Loeb, Martin (2002年11月). 「情報セキュリティ投資の経済学」. ACM Transactions on Information and System Security . 5 (4): 438– 457. doi : 10.1145/581271.581274 . S2CID 1500788 . 
  188. ^サンガー、デイビッド・E.、バーンズ、ジュリアン・E.(2021年12月20日)「米国と英国、ロシアによるサイバー攻撃への備えをウクライナに支援」ニューヨーク・タイムズ。ISSN 0362-4331 2023年12月4日閲覧 
  189. ^ 「ウクライナの重要インフラに対するサイバー攻撃 | CISA」 www.cisa.gov 2021年7月20日2023年12月4日閲覧
  190. ^ Han, Chen; Dongre, Rituja (2014). 「Q&A. サイバー攻撃者の動機とは?」 .テクノロジー・イノベーション・マネジメント・レビュー. 4 (10): 40– 42. doi : 10.22215/timreview/838 . ISSN 1927-0321 . 
  191. ^チャーミック、スティーブン、フライリッヒ、トーマス(2017年4月)。「イデオロギー的動機を持つサイバー攻撃者のサブカルチャーを探る」現代刑事司法ジャーナル。33 (3): 212– 233. doi : 10.1177/1043986217699100 . S2CID 152277480 . 
  192. ^アンダーソン、ロス(2020年)『セキュリティエンジニアリング:信頼できる分散システム構築ガイド(第3版)』インディアナポリス、インディアナ州:ジョン・ワイリー・アンド・サンズ、ISBN 978-1-119-64281-7. OCLC  1224516855 .
  193. ^ 「リーディングクラウドリクルーティングソフトウェア」 iCIMS 2021年3月13日閲覧
  194. ^ Wilcox, S. および Brown, B. (2005)「セキュリティインシデントへの対応 - 遅かれ早かれシステムが侵害される」 Journal of Health Care Compliance、7(2)、pp. 41–48
  195. ^ a bジョナサン・ジットレイン『インターネットの未来』ペンギンブックス、2008年
  196. ^情報セキュリティArchived 6 March 2016 at the Wayback Machine . United States Department of Defense, 1986
  197. ^ 「TJX Companies, Inc.、コンピュータシステム侵入の被害に遭い、顧客保護に役立つ情報を提供」(プレスリリース)。TJX Companies, Inc.、2007年1月17日。 2012年9月27日時点のオリジナルよりアーカイブ。 2009年12月12日閲覧
  198. ^最大規模の顧客情報漏洩が拡大Archived 28 September 2007 at the Wayback Machine . MyFox Twin Cities, 2007年3月29日.
  199. ^ 「イランの原子力発電所に対するスタックスネット攻撃は、これまで考えられていたよりもはるかに危険だった」Business Insider、2013年11月20日。2014年5月9日時点のオリジナルよりアーカイブ。
  200. ^ Reals, Tucker (2010年9月24日). 「Stuxnetワームはイランの核兵器に対する米国のサイバー攻撃か?」 CBSニュース. 2013年10月16日時点のオリジナルよりアーカイブ。
  201. ^ Zetter, Kim (2011年2月17日). 「サイバー戦争の問題は大惨事の後でしか解決されない可能性が高い」 . Wired . 2011年2月18日時点のオリジナルよりアーカイブ。 2011年2月18日閲覧
  202. ^ Carroll, Chris (2011年10月18日). 「米国のサイバー戦争を取り囲む沈黙の円錐」 . Stars and Stripes. 2012年3月7日時点のオリジナルよりアーカイブ2011年10月30日閲覧。
  203. ^ Bumgarner, John (2010年4月27日). 「コンピューターを戦争兵器として」(PDF) . IO Journal. 2011年12月19日時点のオリジナル(PDF)からアーカイブ。 2011年10月30日閲覧
  204. ^ Greenwald, Glenn (2013年6月6日). 「NSA、毎日数百万人のVerizon顧客の通話記録を収集」 . The Guardian . 2013年8月16日時点のオリジナルよりアーカイブ。 2013年8月16日閲覧。独占記事: Verizonに全通話データの提出を求める極秘の裁判所命令は、オバマ政権下での国内監視の規模を示す
  205. ^セイペル、ヒューバート。「トランスクリプト:ARDによるエドワード・スノーデン氏へのインタビュー」。La Foundation Courage2014年7月14日時点のオリジナルよりアーカイブ。 2014年6月11日閲覧
  206. ^ Newman, Lily Hay (2013年10月9日). 「NISTを信頼できますか?」 IEEE Spectrum . 2016年2月1日時点のオリジナルよりアーカイブ。
  207. ^ 「NIST、乱数生成器の推奨事項から暗号化アルゴリズムを削除」国立標準技術研究所。2014年4月21日。
  208. ^「スノーデン新リーク:NSAがGoogleとYahoo!のデータセンターを盗聴」 2014年7月9日アーカイブ、 Wayback Machine、2013年10月31日、ロレンツォ・フランチェスキ=ビッキエライ、mashable.com
  209. ^ライリー、マイケル、エルギン、ベン、ローレンス、デューン、マトラック、キャロル(2014年3月17日)。「クレジットカードデータの大規模なハッキングでターゲット社は警告を見逃した」『ビジネスウィーク』 。2015年1月27日時点のオリジナルよりアーカイブ。
  210. ^ Rosenblatt, Seth (2014年11月6日). 「Home Depot、5300万件のメールが盗難されたと発表」 . CNET . CBS Interactive. 2014年12月9日時点のオリジナルよりアーカイブ。
  211. ^ 「政府職員データハッキングの被害、米国でさらに数百万人」ロイター通信2017年7月9日。2017年2月28日時点のオリジナルよりアーカイブ2017年2月25日閲覧。
  212. ^バレット、デブリン(2015年6月4日)「米国当局、中国のハッカーが約400万人の記録を侵害したと疑う」ウォール・ストリート・ジャーナル2015年6月4日時点のオリジナルよりアーカイブ。
  213. ^ライゼン、トム(2015年6月5日)「連邦職員記録の盗難に中国が関与か」 USニューズ&ワールド・レポート。2015年6月6日時点のオリジナルよりアーカイブ
  214. ^ Zengerle, Patricia (2015年7月19日). 「政府人事データハッキングの被害を受けたアメリカ人の推定数が急増」ロイター. 2015年7月10日時点のオリジナルよりアーカイブ。
  215. ^サンガー、デイビッド(2015年6月5日)「中国に関連するハッキングで数百万人の米国労働者が危険にさらされる」ニューヨーク・タイムズ2015年6月5日時点のオリジナルよりアーカイブ。
  216. ^マンスフィールド=ディヴァイン、スティーブ(2015年9月1日)「アシュリー・マディソン事件」ネットワークセキュリティ. 2015 (9): 8–16 . doi : 10.1016/S1353-4858(15)30080-5 .
  217. ^ Turton, W.; Mehrotra, K. (2021年6月4日). 「ハッカーが侵害されたパスワードを使ってコロニアル・パイプラインに侵入」 . Bloomberg LP . 2023年12月3日閲覧
  218. ^ a b「ミッコ・ヒッポネン:ウイルスと戦い、ネットを守る」 TED、2011年7月19日。2013年1月16日時点のオリジナルよりアーカイブ。
  219. ^ 「ミッコ・ヒッポネン - 敵陣の背後で」。Hack in the Boxセキュリティカンファレンス。2012年12月9日。2016年11月25日時点のオリジナルよりアーカイブ。
  220. ^ 「連邦情報システムとサイバークリティカルインフラのセキュリティ確保と個人情報のプライバシー保護」。会計検査院。2015年11月19日時点のオリジナルよりアーカイブ2015年11月3日閲覧。
  221. ^ジョージア州キング(2018年5月23日)「リバタリアンと暗号通貨愛好家のベン図は非常に近いので、基本的に円だQuartz .
  222. ^カービー、キャリー(2011年6月24日)「元ホワイトハウス補佐官、ネット規制の一部を支持/クラーク氏、政府と産業界はサイバーセキュリティで「F」評価に値すると発言」サンフランシスコ・クロニクル紙
  223. ^マッカーシー、ダニエル(2018年6月11日)「政治権力の民営化:サイバーセキュリティ、官民パートナーシップ、そしてリベラル政治秩序の再生産」政治とガバナンス6 (2): 5-12 . doi : 10.17645/pag.v6i2.1335 .
  224. ^ 「サイバーセキュリティを人権問題として扱うべき時が来た」ヒューマン・ライツ・ウォッチ、2020年5月26日。 2020年5月26日閲覧
  225. ^ 「FIRST Mission」 . FIRST . 2018年7月6日閲覧
  226. ^ 「FIRSTメンバー」 . FIRST . 2018年7月6日閲覧
  227. ^ “欧州理事会” . 2014年12月3日時点のオリジナルよりアーカイブ。
  228. ^ “MAAWG” . 2014年9月23日時点のオリジナルよりアーカイブ。
  229. ^ "MAAWG" . 2014年10月17日時点のオリジナルよりアーカイブ。
  230. ^ 「カナダ政府、カナダのサイバーセキュリティ戦略を発表」 Market Wired、2010年10月3日。2014年11月2日時点のオリジナルよりアーカイブ。 2014年11月1日閲覧
  231. ^ a b「カナダのサイバーセキュリティ戦略」カナダ公安省カナダ政府。2014年11月2日時点のオリジナルよりアーカイブ。 2014年11月1日閲覧
  232. ^ a b c「カナダのサイバーセキュリティ戦略のための行動計画2010~2015」カナダ公安省カナダ政府。2014年11月2日時点のオリジナルよりアーカイブ。 2014年11月3日閲覧
  233. ^ 「カナダのサイバーインシデント管理フレームワーク」カナダ公安省カナダ政府。2014年11月2日時点のオリジナルよりアーカイブ。 2014年11月3日閲覧
  234. ^ 「カナダのサイバーセキュリティ戦略のための行動計画2010~2015」カナダ公安省カナダ政府。2014年11月2日時点のオリジナルよりアーカイブ。 2014年11月1日閲覧
  235. ^ 「カナダサイバーインシデント対応センター」カナダ公安省。 2014年108日時点のオリジナルよりアーカイブ。 2014年11月1日閲覧
  236. ^ 「サイバーセキュリティ速報」カナダ公安省2014年10月8日時点のオリジナルよりアーカイブ2014年11月1日閲覧
  237. ^ 「サイバーセキュリティインシデントの報告」カナダ公安省カナダ政府。2014年11月11日時点のオリジナルよりアーカイブ。 2014年11月3日閲覧
  238. ^ 「カナダ政府、新たな公共意識向上パートナーシップのもとサイバーセキュリティ啓発月間を開始」 Market Wired、カナダ政府、2012年9月27日。2014年11月3日時点のオリジナルよりアーカイブ。 2014年11月3日閲覧
  239. ^ 「サイバーセキュリティ協力プログラム」カナダ公安省2014年11月2日時点のオリジナルよりアーカイブ。 2014年11月1日閲覧
  240. ^ 「サイバーセキュリティ協力プログラム」カナダ公安省2015年12月16日。2014年11月2日時点のオリジナルよりアーカイブ。
  241. ^ "GetCyber​​Safe" . Get Cyber​​ Safe . カナダ政府. 2014年11月11日時点のオリジナルよりアーカイブ。 2014年11月3日閲覧
  242. ^「オーストラリア連邦政府、中小企業向けサイバーセキュリティ支援を発表」『2023-2030 オーストラリアサイバーセキュリティ戦略』 。 2023年11月22日閲覧
  243. ^ 「重要インフラの安全確保:香港初のサイバー法制について知っておくべきこと」 。 2025年3月21日閲覧
  244. ^ 「香港のサイバーセキュリティの保護:重要インフラ事業者にとって不可欠な洞察」 。 2026年1月19日閲覧
  245. ^ 「特定のサイバースペースリスクに対処するためのPPPの適切な構造の必要性」 ORF 2017年11月13日時点のオリジナルよりアーカイブ。
  246. ^ 「National Cyber​​ Safety and Security Standards(NCSSS)-Home」www.ncdrc.res.in . 2018年2月19日時点のオリジナルよりアーカイブ。 2018年2月19日閲覧
  247. ^「韓国、サイバー攻撃調査で国際社会の支援求める」BBCモニタリング・アジア太平洋、2011年3月7日。
  248. ^ Jun, Kwanwoo (2013年9月23日). 「ソウル、サイバー防衛に価格設定」 .ウォール・ストリート・ジャーナル. ダウ・ジョーンズ. 2013年9月25日時点のオリジナルよりアーカイブ。 2013年9月24日閲覧
  249. ^ 「英国のサイバーセンター、敵対的なハッカーを阻止」 BBCニュース、2018年10月15日。 2025年12月31日閲覧
  250. ^ Sengupta, Kim (2020年7月29日). 「GCHQサイバーセキュリティ機関の新責任者が発表」 . The Independent . 2025年12月31日閲覧
  251. ^ Targett, Edward (2021年12月16日). 「英国の2022年国家サイバーセキュリティ戦略:注目すべき10のポイント」 . The Stack . 2025年12月31日閲覧
  252. ^ 「国家サイバー戦略2022」GOV.UK2022年12月15日。 2025年12月31日閲覧
  253. ^ Warrell, Helen (2020年11月19日). 「国家サイバーフォース、英国の敵対者をオンラインで標的に」 . Financial Times . 2025年12月31日閲覧
  254. ^ホワイトハウス(2023年3月)。「国家安全保障戦略」(PDF)。2032年3月号。ホワイトハウス。米国政府。
  255. ^ Adil, Sajid (2023年10月16日). 「2023年のサイバーセキュリティにおける最大の脅威についてご存知ですか?」 . Cyber​​nexguard . Adil Sajid . 2023年12月18日閲覧
  256. ^ Adil, Sajid (2018年9月). 「アメリカ合衆国の国家サイバー戦略」 . UNT大学図書館デジタルライブラリ. 2023年12月18日閲覧
  257. ^ Adil, Sajid (2018年9月). 「2023年のサイバーセキュリティにおける最大の脅威についてご存知ですか?」 UNT大学図書館デジタルライブラリ. 2023年12月18日閲覧
  258. ^ Congress.gov国際サイバー犯罪報告協力法
  259. ^ “111th Congress, 2nd Session” . 2012年1月20日時点のオリジナルよりアーカイブ。
  260. ^ケリー、メアリー・ルイーズ(2021年5月13日)「バイデン大統領顧問によるサイバー脅威とそれらに対抗するための新たな大統領令について」NPR
  261. ^国家のサイバーセキュリティの向上に関する大統領令(全文)
  262. ^ 「国家サイバーセキュリティ局」米国国土安全保障省。2008年6月11日時点のオリジナルよりアーカイブ。 2008年6月14日閲覧
  263. ^ a b「FAQ: サイバーセキュリティR&Dセンター」。米国国土安全保障省科学技術局。2008年10月6日時点のオリジナルよりアーカイブ。 2008年6月14日閲覧
  264. ^ AFP-JiJi、「米国がサイバーセキュリティセンターを発足」、2009年10月31日。
  265. ^ 「連邦捜査局 – 優先事項」連邦捜査局。2016年7月11日時点のオリジナルよりアーカイブ。
  266. ^ 「インターネット犯罪苦情センター(IC3)–ホーム」2011年11月20日時点のオリジナルよりアーカイブ。
  267. ^ 「Infragard公式サイト」Infragard . 2010年99日時点のオリジナルよりアーカイブ。 2010年9月10日閲覧
  268. ^ 「Robert S. Mueller, III – InfraGard Interview at the 2005 InfraGard Conference」 . Infragard (公式サイト) – 「メディアルーム」 . 2011年6月17日時点のオリジナルよりアーカイブ。 2009年12月9日閲覧
  269. ^ "CCIPS" . 2015年3月25日. 2006年8月23日時点のオリジナルよりアーカイブ。
  270. ^ 「オンラインシステムの脆弱性開示プログラムの枠組み」米国司法省刑事局コンピュータ犯罪・知的財産課サイバーセキュリティユニット。2017年7月。 2018年7月9日閲覧
  271. ^ 「ミッションとビジョン」www.cybercom.mil . 2020年6月20日閲覧
  272. ^ William J. Lynn, III (2009年11月12日).国防情報技術調達サミットにおける発言(スピーチ). ワシントンD.C. 2010年4月15日時点のオリジナルよりアーカイブ。 2010年7月10日閲覧
  273. ^ Shachtman, Noah (2010年9月23日). 「軍のサイバー司令官、民間ネットワークにおける「役割なし」を断言」 brookings.edu . 2010年11月6日時点のオリジナルよりアーカイブ
  274. ^ 「FCCサイバーセキュリティ」 FCC。2010年5月27日時点のオリジナルよりアーカイブ2014年12月3日閲覧。
  275. ^ 「医療機器と病院ネットワークのサイバーセキュリティ:FDAの安全性に関するコミュニケーション」米国食品医薬品局2016年5月28日時点のオリジナルよりアーカイブ2016年5月23日閲覧。
  276. ^ 「自動車サイバーセキュリティ - 米国道路交通安全局(NHTSA)」2016年5月25日時点のオリジナルよりアーカイブ2016年5月23日閲覧。
  277. ^航空管制:FAAは次世代への移行に伴い、サイバーセキュリティへのより包括的なアプローチが必要(報告書)。米国会計検査院。2015年4月14日。 2016年6月13日時点のオリジナルよりアーカイブ。 2016年5月23日閲覧
  278. ^ Sternstein, Aliya (2016年3月4日). 「FAA、ハッキング対策飛行機の新ガイドライン策定に着手」 Nextgov . 2016年5月19日時点のオリジナルよりアーカイブ。 2016年5月23日閲覧
  279. ^エリアス、バート (2015年6月18日). 「サイバー攻撃からの民間航空の保護」(PDF) . 2016年10月17日時点のオリジナルよりアーカイブ(PDF) . 2016年11月4日閲覧
  280. ^アンダーソン、デイビッド、ライマーズ、カール(2019年)。「米国政府におけるサイバーセキュリティ雇用政策と職場の需要」 EDULEARN19 Proceedings. 第1巻. IATED. pp.  7858– 7866. doi : 10.21125/edulearn.2019.1914 . ISBN 978-84-09-12031-4. ISSN  2340-1117 .
  281. ^ Verton, Dan (2004年1月28日). 「DHSが国家サイバー警報システムを開始」 . Computerworld . IDG. 2005年8月31日時点のオリジナルよりアーカイブ2008年6月15日閲覧。
  282. ^詳細については、10 CFR 73.54「デジタル コンピュータおよび通信システムとネットワークの保護」に記載されています。
  283. ^原子力発電所のサイバーセキュリティ計画- 原子力エネルギー研究所
  284. ^詳細はNEI 08-09を参照してください
  285. ^ Clayton, Mark (2011年3月7日). 「新たなサイバー軍拡競争」 .クリスチャン・サイエンス・モニター. 2015年4月16日時点のオリジナルよりアーカイブ。 2015年4月16日閲覧
  286. ^ナカシマ、エレン(2016年9月13日)「オバマ大統領、NSAからサイバー戦争司令部を分離するよう求める」ワシントン・ポスト2016年10月12日時点のオリジナルよりアーカイブ。 2017年6月15日閲覧
  287. ^オーバーランド、インドラ(2019年3月1日). 「再生可能エネルギーの地政学:新たな4つの神話を暴く」 .エネルギー研究と社会科学. 49 : 36–40 . Bibcode : 2019ERSS...49...36O . doi : 10.1016/j.erss.2018.10.018 . hdl : 11250/2579292 . ISSN 2214-6296 . 
  288. ^マネス、ライアン・C.、ヴァレリアーノ、ブランドン(2018年6月11日)「サイバー空間の破滅への懸念を捨て、データ収集を開始した経緯」政治とガバナンス6 (2): 49–60 . doi : 10.17645/pag.v6i2.1368 . hdl : 10945/60589 . ISSN 2183-2463 . 
  289. ^マネス、ライアン・C.、ヴァレリアーノ、ブランドン(2015年3月25日)「サイバー紛争の国際交流への影響」『Armed Forces & Society42 (2): 301– 323. doi : 10.1177/0095327x15572997 . ISSN 0095-327X . S2CID 146145942 .  
  290. ^ Bullard, Brittany (2016).スタイルと統計:小売分析の芸術. Wiley. doi : 10.1002/9781119271260.ch8 . ISBN 978-1-119-27031-7
  291. ^ Oltsik, Jon (2016年3月18日). 「サイバーセキュリティスキル不足がクラウドコンピューティングに与える影響」 . Network World . 2016年3月23日時点のオリジナルよりアーカイブ。 2016年3月23日閲覧
  292. ^ Robinson, Terry (2018年5月30日). 「なぜサイバーセキュリティの学位は最高の学位の一つなのか?」 DegreeQuery.com . 2021年10月10日時点のオリジナルよりアーカイブ。 2021年10月10日閲覧
  293. ^ de Silva, Richard (2011年10月11日). 「政府 vs. 商業:サイバーセキュリティ業界とあなた(パート1)」 . Defence IQ. 2014年4月24日時点のオリジナルよりアーカイブ。 2014年4月24日閲覧
  294. ^ “Department of Computer Science” . 2013年6月3日時点のオリジナルよりアーカイブ2013年4月30日閲覧。
  295. ^ 「サイバーセキュリティアーキテクトについて」 cisa.gov 2021年8月1日. 2022年1月1日閲覧
  296. ^ 「最高情報セキュリティ責任者(CISO)になるには?」cybersecuritycareer.org . 2021年8月1日. 2022年1月4日閲覧
  297. ^ 「データ保護責任者」 ico.org.uk 2021年1月。
  298. ^ 「学生向けサイバーセキュリティリソース」 NICCS(米国サイバーキャリア・研究全国イニシアチブ)。2020年11月5日時点のオリジナルよりアーカイブ。
  299. ^ 「DHSの現在の求人情報」米国国土安全保障省。2013年5月2日時点のオリジナルよりアーカイブ2013年5月5日閲覧。
  300. ^ 「サイバーセキュリティ訓練と演習」米国国土安全保障省、2010年5月12日。2015年1月7日時点のオリジナルよりアーカイブ。 2015年1月9日閲覧
  301. ^ 「サイバーセキュリティ意識向上のための無料トレーニングとウェブキャスト」 MS-ISAC(Multi-State Information Sharing & Analysis Center). 2015年1月6日時点のオリジナルよりアーカイブ。 2015年1月9日閲覧
  302. ^ 「DoD Approved 8570 Baseline Certifications」 . iase.disa.mil . 2016年10月21日時点のオリジナルよりアーカイブ2017年6月19日閲覧。
  303. ^ 「英国サイバーセキュリティ戦略:進捗状況と将来計画に関する報告書 2014年12月」(PDF)。英国内閣府。2018年4月18日時点のオリジナルよりアーカイブ(PDF) 。 2021年8月20日閲覧
  304. ^ 「活気に満ちた安全な英国のためのサイバースキルGOV.UK。
  305. ^ 「シンガポール運用技術(OT)サイバーセキュリティ能力フレームワーク」サイバーセキュリティ庁(プレスリリース)2021年10月8日。2021年10月16日時点のオリジナルよりアーカイブ。 2021年10月23日閲覧
  306. ^ 「Confidentiality」 . 2011年10月31日閲覧
  307. ^ 「データ整合性」2011年11月6日時点のオリジナルよりアーカイブ2011年10月31日閲覧。
  308. ^ 「エンドポイントセキュリティ」 2010年11月10日. 2014年3月16日時点のオリジナルよりアーカイブ2014年3月15日閲覧。
  309. ^ 「サイバーセキュリティ専門職の簡潔な歴史」ISACA2023年10月13日閲覧
  310. ^ 「コンピューティングセキュリティの一歩先へ」 RIT 202310月13日閲覧
  311. ^ a b Misa, Thomas J. (2016). 「RAND、SDC、NSAにおけるコンピュータセキュリティに関する議論(1958-1970)」 . IEEE Annals of the History of Computing . 38 (4): 12– 25. Bibcode : 2016IAHC...38d..12M . doi : 10.1109/MAHC.2016.48 . S2CID 17609542 . 
  312. ^ Neumann, AJ; Statland, N.; Webb, RD (1977). 「後処理監査ツールとテクニック」(PDF) . nist.gov . 米国商務省、国立標準局。pp. 11–3–11–4. 2016年10月10日時点のオリジナルよりアーカイブ(PDF) . 2020年6月19日閲覧
  313. ^アーウィン、ルーク(2018年4月5日)「NISTはCIAの三本柱をどのように守ることができるか。見落とされがちな『I』、つまり誠実さも含め」 www.itgovernanceusa.com 20211月16日閲覧
  314. ^ Perrin, Chad (2008年6月30日). 「CIAトライアド」 . techrepublic.com . 2012年5月31日閲覧
  315. ^ Stoneburner, G.; Hayden, C.; Feringa, A. (2004).情報技術セキュリティのためのエンジニアリング原則(PDF) (レポート). csrc.nist.gov. doi : 10.6028/NIST.SP.800-27rA . 2004年10月12日時点のオリジナルよりアーカイブ(PDF) 。注意: このドキュメントは、それ以降のバージョンに置き換えられました。
  316. ^ヨスト, ジェフリー・R. (2015年4月). 「コンピュータセキュリティソフトウェア製品産業の起源と初期の歴史」. IEEE Annals of the History of Computing . 37 (2): 46– 58. Bibcode : 2015IAHC...37b..46Y . doi : 10.1109/MAHC.2015.21 . ISSN 1934-1547 . S2CID 18929482 .  
  317. ^ 「コンピュータウイルスの歴史と今後の展望」 www.kaspersky.com 2023年4月19日2024年6月12日閲覧
  318. ^トムリンソン、レイ。「クリーパー/リーパーに関するレイ・トムリンソンへのインタビュー」OSNews2025年9月25日閲覧
  319. ^ 「サイバースパイ活動の初の事件」ギネス世界記録。 2024年1月23日閲覧
  320. ^ FBIニュース (2018年11月2日). 「モリスワーム - インターネットへの最初の大規模攻撃から30年」 . fbi.gov . 2024年1月23日閲覧
  321. ^ a b Boncella, Robert J (2004年4月). Bidgoli, Hossein (編). The Internet Encyclopedia, Volume 2 (第2版). Wiley. p. 262. ISBN 978-0-471-68996-6
  322. ^ 「1993年:Mosaicがローンチし、Webが解放される」Web開発の歴史2021年12月8日。
  323. ^ 「Web Design Museum - Netscape Navigator 2.0」 . 2023年3月10日. 2023年12月4日閲覧
  324. ^ナカシマ、エレン(2008年1月26日)「ブッシュ大統領令、ネットワーク監視を拡大:情報機関が侵入を追跡」ワシントン・ポスト2021年2月8日閲覧
  325. ^ a b Perlroth, Nicole (2021年2月7日). 「米国はハッカーに敗れた経緯」 . The New York Times . 2021年12月28日時点のオリジナルよりアーカイブ。2021年2月9日閲覧。
  326. ^パールロス、ニコール、サンガー、スコット(2019年5月6日)「中国のスパイはいかにしてNSAのハッキングツールを入手し、攻撃に利用したか」ニューヨーク・タイムズ。 2024年10月18日閲覧
  327. ^ Greenberg, Andy (2019年5月7日). 「NSAのゼロデイ攻撃の奇妙な旅—複数の敵の手に」WIRED . 2025年9月25日閲覧
  328. ^ Schectman, Joel; Bing, Christopher (2021年9月14日). 「元米情報機関員、UAEのために米ネットワークをハッキングしたことを認める」ロイター. 2025年9月25日閲覧

さらに読む

コンピュータセキュリティに関する図書館資料
ウィキメディア コモンズには、コンピュータ セキュリティに関連するメディアがあります。
「 https://en.wikipedia.org/w/index.php?title=Computer_security&oldid=1336786453#United_Kingdom」より取得