IT業界の進歩は凄まじく、毎年のように新たな技術が生み出されています。10年前はフィクションで敷かなかった技術がいつの間にか実現していた、ということも珍しくなく、私たちの社会は、どんどん便利になっています。
ですが、新技術が正しい使われ方ばかりされているとは限りません。年々サイバー犯罪は高度かつ複雑化しており、セキュリティ技術者とのイタチごっこの様相になっていると言っても過言ではないでしょう。
そこで今回ご紹介したいのは、IPAが作成した「情報セキュリティ10大脅威(組織)」です。
これはIPAが2019年に社会的影響を与えたセキュリティ事故の中から、研究者や企業の実務担当者など約140名が審議・投票した事案例で、どんな脅威が存在するのか、一目瞭然のランキングとなっています。
これら事例の中から、どんな対策が有効なのか、検討してみましょう。
情報セキュリティ10大脅威(組織)
10位:サービス妨害攻撃によるサービスの停止
これは運営中のサービスに対して妨害攻撃を行い、サービス停止に追い込む手口です。その手法は様々で、例えば複数の機器をハッキングしてボットネットを構成し、大量のアクセスを仕掛けて高負荷状態にしたり、回線を占有状態にするなどして、サービスを利用出来ない状態にします。
この攻撃の標的とされた場合、ウェブサイトのレスポンスが遅延したり、サーバーそのものがダウンさせられるため、多くのユーザーに影響が出てしまうのが特徴です。
セキュリティホールを残したままにしない、サーバーに一定以上の負荷が発生した場合のアラート監視を行うなど、外部からのアクセスへのセキュリティを上げることが、唯一の対策となります。
9位:IoT機器の不正利用
近年のオフィス機器は、外出先からも操作出来るよう、ネットワークに接続されているものが少なくありません。例えばRICOH社から販売されている「e-Sharing Box」は、外出先からファックス文書の受送信や閲覧することが可能で、ユーザーには非常に重宝されている機能となっています。
ですがネットワークに繋がっている、ということは、ハッキングを受ける危険性を忘れてはいけないということです。社内情報を閲覧されたり、コンピュータウイルスを仕掛けられ、社内全体に広げられる可能性も否定出来ませんよね。
常にOSやドライバを最新にし、不正アクセスへの対策を万全にしておきましょう。
8位:インターネット上のサービスからの個人情報の窃取
こちらは、通販サイトからアカウント情報を盗まれてしまう事例です。ランキングとしては8位ですが、「IPA10大セキュリティ脅威(個人)」の10位にもランクインしており、個人・組織を問わず広く被害が出ていることが分かりますね。
組織におけるランキングの方が上位にあるのは、仮にこの脅威にさらされてしまった場合、被害額や影響範囲が莫大になる可能性があるからでしょう。
単純なアカウントやパスワードにしないなどのガイドラインを良く読み、厳重なセキュリティ対策をするようにしてください。
7位:不注意による情報漏えい(規則は遵守)
組織レベルで厳しく情報管理体制を敷いていても、個人レベルでの不注意まで防ぐことはなかなか出来ません。現に2019年においてもこのケースによるセキュリティインシデントは多く、「宴席で社外秘の資料の入った鞄を置き忘れる」「メールを誤送信してしまう」などのケースが挙げられます。
こうした漏えいは会社に莫大な損害を与える可能性もあるため、絶対に防がなければなりません。対策としては、個々人にルールの徹底を求めるしかありませんので、定期的にセキュリティ規則の読み合わせをするなど、社員の意識向上に努めましょう。
6位:予期せぬIT基盤の障害に伴う業務停止
人間による不注意や犯罪以外にも、業務レベルでの被害が発生する事例があります。その一つとして挙げられるのは、ハードウェア面での障害です。どれだけセキュリティ対策を取り、個々人が注意を払っていても、システムの土台となる機器が動かなくなってしまっては、業務を停止せざるを得ませんよね。
近年の事例として記憶に新しいのは、やはり2019/8/23に発生したAWSの大規模障害でしょう。これは東京リージョンに設置された設備において、冷却制御システムに障害が発生し、オーバーヒートを起こしたことが原因だったそうです。
対策としてとして大切なのは、常に機器のメンテナンスに目を走らせるのはもちろんですが、仮にサーバーが停止しても業務に影響が出ないようにすることです。
例えば基幹システムを複数のサーバーで相互に補完し合う、インプット側の処理だけでも動作するよう保証するなど、様々なやりかたが挙げられます。
5位:ランサムウェアによる被害
ランサムウェアとは、「身代金(Ransom)を要求するマルウェア(Malware)」の総称です。感染したPCの内部データを暗号化し、「解除して欲しければ金銭を払え」と要求する手口で、企業がこの被害に遭うと、深刻なダメージは免れません。
ランサムウェアの発生当時は不特定多数の個人を対象にしたものが多かったのですが、近年では企業や公的機関が狙い撃ちされるケースが増えてきています。
コンピュータウイルスの一種であるため、従業員に怪しいメールにはアクセスしないよう徹底させたり、プロキシの設定などで業務外のサイトには繋げられないよう制限すると良いでしょう。
4位:サプライチェーンの弱点を悪用した攻撃
原材料や部品の調達から、製造、販売までの一連の流れをサプライチェーンと呼びますが、その中のセキュリティ対策が弱い企業を狙い撃ちにする手口です。
このケースの恐ろしいところは、企業側がどれだけセキュリティ対策に取り組んでいても、取引先企業から情報漏えいが起こってしまうことでしょう。特にメールアカウントを乗っ取られてしまうと、後述の「ビジネスメール詐欺による金銭被害」にも繋がってしまいます。
サプライチェーン全体でセキュリティ講習に参加するなど、情報管理体制に対する意識を
相互に高めていかなくてはなりません。
3位:ビジネスメール詐欺による金銭被害
役員や取引先企業に成りすましてビジネスメールを送り、金銭を騙し取ろうとする事例です。メールアカウントを乗っ取られた場合に最も警戒しなければならない手口の一つで、普段やりとりしているメールの内容を真似することで、パッと見ただけでは簡単には見抜けない、精巧な偽メールが作られてしまいます。
アカウントを盗まれないよう厳重に注意するのはもちろんのこと、メールを受信した側も、内容に不審なものを感じたら、直接電話で相手に確認するなどの対策をしなければなりません。
2位:内部不正による情報漏えい
外部からの攻撃ではなく、従業員が不正を働き、意図的に情報漏えいを起こすケースです。漏えいの目的は、個人情報の販売から悪戯まで様々で、企業にとっては最も重く懲戒しなければならない事例でもあります。
具体的な事例を挙げるなら、やはり2019/11/26に発生した神奈川県の公文書漏えい事件でしょう。これはオークションサイトで落札したハードディスクに公文書データが入っていたという事件で、行政から依頼を受けた廃棄業者の従業員が不正に転売していた、という驚くべき事例です。
廃棄を行った証拠を提示する必要がない、など組織のチェック機能が働いていなかったなどの問題があり、業務におけるコンプライアンスを遵守させる仕組みづくりが唯一の対策と言えるでしょう。
1位:標的型攻撃による機密情報の窃取
組織編ランキングの1位に挙げられたのは、標的型攻撃による情報詐取です。
標的型攻撃とはその名の通り狙いを定めた組織に対する攻撃のことで、メールの成りすまし、ウェブサイトの改ざん、不正なソフトウェアのインストールなどによってコンピュータウイルスに感染させ、情報を盗み出すという手口です。
中には特定企業がアクセスした時だけ不正な動きをするウェブサイトまであるらしく、こうしたケースでは発見や対策が遅れるため、サイバー攻撃の被害を防ぎにくくなっているようです。
こうした手口においても、他の事例と同じ対策、すなわち不審なメールやサイトは開かない、従業員の教育を徹底するなどの方法が有効ですので、日々の心がけを大切にするようにしましょう。
セキュリティ対策部門が必要
技術革新によるサイバー攻撃の高度化は激化しており、今までの対策だけでセキュリティを維持出来るとは限らなくなってきました。そのため個人個人の心がけが大切であることはもちろんですが、それも会社としての対策が前提にあってのことです。
日々進化していく技術に適応していくためには、専門の部署が遭ってしかるべきではないでしょうか。
IT企業であるか否かに関わらず、あらゆる企業において、セキュリティ対策部門が設置される日も遠くないかも知れません。