攻撃を仕掛けられる企業の増加により、情報セキュリティに対する脅威への対応力が問われています。多様化した犯罪手口により、もはやセキュリティソフトだけでは機密情報を守り切れません。
では脅威が増えていく状況下で、企業はどのような対策を取るべきなのでしょうか?今回はIPA(独立行政法人情報処理推進機構)が発表した資料をもとに、情報セキュリティを脅かす攻撃の手口をご紹介致します。
- 1.IPAが発表した警戒すべきサイバー犯罪
- ①ウイルスを使用した機密情報の抜き取り
- ②対策が困難なビジネスメール詐欺
- ③内部不正による社外への情報流出
- ④あらゆる脅威に対して取るべき姿勢
- 2.情報セキュリティ対策の今後
- 3.まとめ
1.IPAが発表した警戒すべきサイバー犯罪
世間のIPA(独立行政法人 情報処理推進機構)に対する認知度は高くありませんが、IPAは経済産業省に属している正当な政策実施機関です。IPAは前年度の情報セキュリティに関するデータから、個人や組織が特に警戒するべき脅威をピックアップしています。情報セキュリティに対する認知拡大のために、ウェブサイトにて資料を発信しています。
この項では資料に掲載された脅威を3つに分別し、それぞれの性質と対策をまとめました。
①ウイルスを使用した機密情報の抜き取り
2018年にIPAが危険度が高いと評価した犯罪は、メールやインターネットを介したウイルス感染によるものです。ウイルスに感染したデバイスのリモート操作により、企業が持つ機密情報の抜き取りやシステム破壊が行われます。
また近年ではランサムウェアと呼ばれる、感染力の高いウイルスによる悪質な攻撃が話題となりました。ランサムウェアはパソコンやスマートフォンなどを不正ロックし、復旧の代償として金銭を要求する犯罪に多用されるウイルスです。企業が自社情報にアクセスできない状態へと暗号化するタイプや、感染デバイスが法的措置でロックされたと脅迫するタイプなど多くの種類があります。
既存のウイルスはメールに添付されたファイルやURLからの感染が主でしたが、2017年度はOSに弱点のあるデバイスを介して集団感染させるランサムウェアが増加。特に「WannaCry」と呼ばれるランサムウェアは世界規模での感染が確認されており、メディアの報道で世間に広く認知されました。
ウイルス感染を防ぐ手段は進化していますが、犯罪者の手によって改良が加えられたものには対応できません。感染リスクを軽減するためには最新セキュリティソフトの導入はもちろん、定期的なバックアップが必要です。
②対策が困難なビジネスメール詐欺
取引先企業を装って金銭を不正にだまし取る、ビジネスメール詐欺にも厳重な注意が必要です。ビジネスメール詐欺では財務決裁権を持つ担当者をだまし、巧妙な手口で犯罪者の口座へ送金を誘導します。企業間での金銭取引は多額の資金を動かすケースが多く、損失の大きさは個人に対する詐欺の比ではありません。
そしてビジネスメール詐欺は、詐欺被害に直面している状況に気が付きにくいほど巧妙である点も特徴です。取引先になりすました偽装メールアドレスだけでなく、取引先から盗み取った本物のメールアドレスを悪用していた事例もあります。さらに犯罪者が以前のメッセージを閲覧している場合があり、担当者の文体を真似ているため悪質メールであることを気付かれないための工夫がされているものが数多くみられます。。
現状では対策が困難な手口の1つで、メッセージの送信元や文体の違和感を注意深く確認するしかありません。
③内部不正による社外への情報流出
不正による社内からの情報流出は、企業の信頼を大きく低下させる脅威の1つです。外部からの攻撃は技術的に防止が困難なケースが多いですが、内部不正の原因は情報流出に対する対策不足にほかなりません。不正の動機や事故の実態がどのようなものであっても、社外からは社員教育や権限の管理がおろそかであるとみなされます。
既存顧客だけでなく潜在顧客の信用も失い、ビジネスチャンスや株価の暴落による大規模な損失は避けられません。内部不正に関する体制は自社内での評価が難しいため、外部資料や専門家の意見を仰いで不正防止に取り組む必要があります。
④あらゆる脅威に対して取るべき姿勢
IPAが注意喚起する犯罪手口は、企業が被害を受ける事例のほんの一部です。犯罪者たちは以前の手口が通用しないと分かれば、次から次へと攻撃方法を改めるでしょう。そして新たに用いられる手口は従来の対応マニュアルで阻止できない可能性があるため、継続的な対策の考案と情報の真正性をチェックする習慣が必要です。
2.情報セキュリティ対策の今後
情報セキュリティの脅威は年々増加しており、セキュリティに関して知識を持つ人員が求められています。しかし人員数が少ないという問題や、必要な人員をそろえるための予算が足りないなど課題は山積みです。経済産業省の資料によれば、情報セキュリティの脅威に対応できる人材は不足する一方です。2020年時点で、およそ20万人弱の人材不足に直面すると予想されています。
さらに今後は情報セキュリティの知識を持つ人材の確保だけでなく、将来セキュリティ関連の専門家となる若者の育成にも力を入れなければなりません。また既存の社員に対しても情報セキュリティの研修を実施し、ウイルス感染やビジネスメール詐欺への対応力を高める取り組みが重要視されています。
3.まとめ
いかがでしたでしょうか?
情報セキュリティの脅威はすさまじいスピードで拡大しており、各企業はより厳重な情報の管理体制が求められています。しかし現状では情報セキュリティの知識を持つ人員が不足しており、一部の社員以外は対応できないケースも多いです。
セキュリティソフトの導入だけでは阻止できない犯罪もあるため、今後は社内全体での情報セキュリティ研修などが求められると予想されています。