SNS乗っ取り事例から学ぶ！情報セキュリティマネジメント試験から活かすCIA・MFA・SSOの基礎知識

はじめに

こんにちは！アジアクエスト情報システム部の石川です。
この記事では、 情報セキュリティマネジメント試験(SG)合格 に向けて学習中の私が、
身近にあったトラブルに関連していて、興味深いと感じた内容を記載いたします。

情報セキュリティマネジメント試験とは

まずは学習中の 情報セキュリティマネジメント試験(SG) について、皆さんにご紹介したいと思います。

この試験は、企業全体の安全なIT活用を推進する人材を育てるための 国家試験 です。
情報セキュリティの管理・運用スキルを問われるため、情報システム部だけでなく、機密情報を扱うすべての人にとって非常に役立つ知識が身につきます。

運営しているのは、 IPA(独立行政法人情報処理推進機構) という団体です。
IPAは、【デジタルで豊かな社会に】というミッションのもとに、デジタル技術の利用促進を通じ、国民の豊かな暮らしを実現することを経営理念の一つにしています。
引用：IPA経営理念/Mission
その取り組みの一つとして、デジタル⼈材の育成を掲げており、情報処理技術者としての知識・技術が一定以上の水準であることを経済産業省が認定する国家試験 【情報処理技術者試験】を実施しています。情報セキュリティマネジメント試験もこちらの国家試験のうちの一つです。
引用：IPA事業案内2025/デジタル人材の育成

情報セキュリティで大事な CIA

興味深いと感じた内容を書く前に説明をしておかなければいけない考え方があります。
企業の情報セキュリティにおいて、基本となる考え方であるCIAというものです。
CIAは機密性 (Confidentiality)、完全性 (Integrity)、可用性 (Availability) の頭文字を取った略称で、情報資産を管理するための三大原則を示しています。
これは、会社の情報を守る上で非常に重要な 【情報を守り、正しく、常に使える状態にする】 という考え方を表しています。

非常に身近な アクセス認証

非常に身近で興味深いと思った項目が、アクセス認証です。
アクセス認証はCIAでいう機密性と完全性に深く関連する項目です。

実例として、知人の会社でSNSアカウントの乗っ取りが発生しました。
顧客のアカウントが悪意ある第三者に乗っ取られ、そのアカウントからのDMに含まれるURLから偽のログイン画面にアクセスし、認証情報(パスワードやセッショントークン)を入力してしまった結果、認証情報が盗まれてしまい、アカウントが使用できない状態となりました。

このSNS乗っ取りでCIAがどうなったかというと…

• 機密性 (Confidentiality) ： パスワード一つが盗まれた時点で、DMなどの機密データが攻撃者に見られてしまう状態となりました。
• 完全性 (Integrity) ： 攻撃者がアカウントに不正ログインし、誤った情報や詐欺投稿を発信されてしまいました。
• 可用性 (Availability) ： 攻撃者が正規のパスワードやメールアドレスを変更した結果、正規利用者がアカウントにアクセスできなくなり、サービスが利用できなくなりました。

顧客の個人情報や会社の重要な情報を保存していないSNSアカウントだったため、大きな問題にはならなかったみたいですが、重要な機密を保存しているPCやサーバなどだったらと思うと非常に恐ろしいですよね。

MFA(Multi-Factor Authentication)って何？

機密性を高める方法として、MFAや二段階認証というものがあります。
両方ともよく知られる認証方法で、今回紹介したような事象を防ぐのに非常に効果的な方法です。

二段階認証とは【二つの段階で認証する】ことを指す言葉です。
代表例としてはパスワード + 秘密の質問での認証が挙げられます。

MFAとはMulti-Factor Authenticationの略称で、日本語では多要素認証と呼ばれます。
これは異なる要素を二つ以上組み合わせて行われる認証です。
具体的な認証要素としては以下の3種類などです。
知識情報：パスワードやPINコードなどの 覚えている情報
所持情報：キャッシュカードやワンタイムパスワードなどの 所持している人しか利用できない情報
生体情報：静脈や指紋、顔の情報などの 身体的特徴

二段階認証は、要素に限らず二つの情報を用いる認証全般を指します。それに対し、MFAのほうがより厳格な定義となります。

一番わかりやすいMFAの例ではキャッシュカードとパスワードの関係です。
パスワードという知識情報を盗まれても、キャッシュカードという所持している物を同時に盗まれなければ、口座の現金を盗まれることはありません。
このような仕組みがあることによって、社内の機密情報を守ることができます。

ただし、会社内でシステムを使うとき、すべてのシステムでMFAを利用して業務を行うのは非常に不便となってしまいます。

そんな不便を解消してくれるSSO(Single Sign-On)

一つのシステムの認証をしたら、すべてのシステムが使える。そんな状態だったら業務がしやすくなると思いませんか？
そこで使われるのがSSOです。SSOはSingle Sign-Onの略称で、その名の通り、一つの認証をすることで複数システムを使用できるようになるシステムです。
SSOのみで運用してしまうと、一つの認証を突破されただけで全システムが危険な状態となりますが、
MFAと組み合わせることで、業務の負担は増やさずに全システムに強力なセキュリティ対策をすることができます。

アクセス認証をするにあたって、アジアクエストではどうしているか

アジアクエストではOktaというSSOとMFAを組み合わせて使用できるシステムを利用しています。
その中でも、【TechBlog：アジアクエスト情報システム部の2024年を振り返る】にて紹介している機能である
Okta FastPass という認証機能を使用して、パスワード入力自体を不要とする取り組みを行なっております。
Okta FastPassにより、パスワードを入力する手間を減らし、フィッシングなどの攻撃から守ることができます。

情報セキュリティの国際基準を満たした管理の仕組み
ISMS(Information Security Management System)

ISMS、日本語では 情報セキュリティマネジメントシステム です。
企業がCIAを守るための管理の仕組みを持っていることを、国際的な基準に基づいて第三者機関が証明するものです。
先ほどのアクセス認証のような技術的な防御策だけでなく、セキュリティポリシーなどのルールづくりやリスクになっているシステム・仕組みがないかを監査して改善を行うマネジメントなど、様々な要素を見られる基準です。
ISMSは一度取れば、永久に認証されるものではなく、定期的な審査が設けられています。
一つが【維持審査】毎年、ISMSが継続して機能しているか？有効に運用されているか？を審査されます。
もう一つが【更新審査】3年ごとに行われる審査で、認証を受けていた過去3年の間にISMS規格(ISO/IEC 27001)通りの運用がされているかを厳格に審査されます。

アジアクエストのISMS認証

アジアクエストでは2017年に認証を取得しており、その後2020年、2023年と更新審査を受審しております。
(2025年10月時点)
直近に行った2023年の更新審査のことは【TechBlog：アジアクエスト情報システム部の2023年を振り返る】にも記載があるとおり、審査をする方からも高く評価され、無事認証をいただき、その後の維持審査も問題なく認証いただいています。
詳細はアジアクエストの公式HP：ISMS認証に記載されていますので、認証結果がどんな形で公表されるのかが気になる方は見てみてください。

【まとめ】情報セキュリティを【自分ごと】にするために

私は、身近に起きたトラブルを通じて、情報セキュリティを守ることの重要性を実感しました。 しかし、セキュリティは【担当者だけが頑張るもの】ではなく、一人ひとりが意識して取り組むべきものです。

IT業界に限らず、あらゆる職種の人が情報を扱う時代だからこそ、リスクを正しく理解し、トラブルを未然に防ぐ行動が求められます。 私自身も引き続き学びを深め、情報セキュリティマネジメント試験の合格を通して、安全で信頼される仕組みづくりに貢献していきたいと思います。

この記事をきっかけに、ISMSや情報セキュリティマネジメント試験に興味を持っていただけたら嬉しいです。