ランサムウェア、ビジネスメール詐欺、IoT機器の脆弱性……あなたの会社ではこれらの情報セキュリティ脅威に対して十分の備えをしているだろうか。情報化社会の進展によって脅威の内容も日々変わる。その脅威に対して企業は適切に対処しなければ、ビジネスの継続もままならない。情報処理推進機構が発表した「情報セキュリティ10大脅威 2018」を参考に、注目しておくべき脅威とその対策について知っておこう。
昨年ランク外だった新たな脅威もランクイン
経済産業省所管の独立行政法人情報処理推進機構は4月、「情報セキュリティ10大脅威 2018」を発表した。2017年に発生し社会的に影響が大きかったセキュリティ事案から、特に脅威の大きい候補を選出したものだ。個人と組織それぞれに対する脅威がランキング形式になって取り上げられている。
「情報セキュリティ10大脅威 2018」(出典:情報処理推進機構)
| 昨年順位 | 個人 | 順位 | 組織 | 昨年順位 |
|---|---|---|---|---|
| 1位 | インターネットバンキングやクレジットカード情報等の不正利用 | 1位 | 標的型攻撃による被害 | 1位 |
| 2位 | ランサムウェアによる被害 | 2位 | ランサムウェアによる被害 | 2位 |
| 7位 | ネット上の誹謗・中傷 | 3位 | ビジネスメール詐欺による被害 | ランク外 |
| 3位 | スマートフォンやスマートフォンアプリを狙った攻撃 | 4位 | 脆弱性対策情報の公開に伴う悪用増加 | ランク外 |
| 4位 | ウェブサービスへの不正ログイン | 5位 | 脅威に対応するためのセキュリティ人材の不足 | ランク外 |
| 6位 | ウェブサービスからの個人情報の窃取 | 6位 | ウェブサービスからの個人情報の窃取 | 3位 |
| 8位 | 情報モラル欠如に伴う犯罪の低年齢化 | 7位 | IoT機器の脆弱性の顕在化 | 8位 |
| 5位 | ワンクリック請求等の不当請求 | 8位 | 内部不正による情報漏えい | 5位 |
| 10位 | IoT機器の不適切な管理 | 9位 | サービス妨害攻撃によるサービスの停止 | 4位 |
| ランク外 | 偽警告によるインターネット詐欺 | 10位 | 犯罪のビジネス化 (アンダーグラウンドサービス) | 9位 |
このなかから組織(企業)にとって興味深いものを取り上げていこう。
1位、2位は昨年と変わらずあの脅威
まず、1位、2位は昨年と変わらず、「1位 標的型攻撃による被害」「2位 ランサムウェアによる被害」だった。
1位の標的型攻撃とは、メールへの添付ファイルや外部メモリを使い、標的とする組織のPCをウイルスに感染させる攻撃のこと。これにより社内情報の剽窃などを狙う。
2位のランサムウェアとは、身代金型ウイルスのこと。犯罪グループや犯罪者が、PCやスマートフォンにウイルスを送り込み、システムを暗号化したり画面をロックしたりする。そして、「復旧したいなら●万円を振り込め」というように身代金を要求するのだ。2017年上期は世界的に、「WannaCry」というランサムウェアによる大規模な感染被害が報告された。
昨年までになかった新たな脅威も登場
一方、昨年まではランク外だった新たな脅威もランクインしている。
まず3位の「ビジネスメール詐欺による被害」。取引先のふりをするなど、巧妙に細工したメールにより企業の担当者を騙し、指定した口座に送金させる手口だ。大手航空会社が被害にあうなど日本でも企業の被害が増えている。FBIのレポートによれば、この5年間のビジネスメール詐欺の被害額は世界で125億ドルに上るという。
4位の「脆弱性対策情報の公開に伴う悪用増加」は、セキュリティ意識の高まりを利用した悪質な攻撃だ。ソフトウェア会社は製品の脆弱性を発見すると修正プログラムを作成・公開し、ユーザーへの適用を促すが、攻撃者はその情報を元にすぐさま攻撃コードを作成し、修正プログラムを適用する前のユーザーを攻撃する。脆弱性が発見されたその日のうちに攻撃する「ゼロデイ攻撃」と呼ばれるものもある。
5位の「脅威に対応するためのセキュリティ人材の不足」については説明の必要がないかもしれない。毎年のように新たな脅威が増えているなかで、適切に対応できる人材が不足している。特に中小企業にとって頭の痛い問題だろう。
情報セキュリティ対策を怠れば、事業継続が困難に
これらの脅威の被害にあった時、企業はどのような影響を受けるだろうか。情報漏えいによる信用の低下、システムのトラブルによる事業活動の停滞、ビジネス機会の喪失、賠償金の支払いによる金銭的ダメージ、株価下落など、影響は広範囲にわたると考えられる。事業継続が困難になり、最悪の場合は廃業に追い込まれる可能性もあるだろう。
脅威にさらされているのは大企業だけでなく中小企業も同様だ。たとえば、標的型攻撃は、Aという中小企業を踏み台にして、取引先のBという大企業を狙うケースもある。自社を踏み台にされて取引先の大企業が被害を受けたら、自社の信頼が失墜するだけでなく、大企業から損害賠償請求される可能性もある。
では、企業はこれらの脅威に対してどのように対策をするべきか。多岐にわたる対策が必要だが、その第一歩は「知ること」ではないだろうか。中小企業であっても狙われることがあると知ること。世界で流行している最先端の脅威やその情報について知ること。積極的に知ることで、被害を防ぐための対策についても知識が身につき、それが具体的なアクションにつながるのだ。(提供:百計ONLINE)
【オススメ記事 百計ONLINE】
・後継者問題解消、3つのパターン
・事業承継税制の活用で後継者へのバトンタッチをスムーズに
・相続税対策に都心の不動産が適している理由とは
・長寿企業に見る、後継者育成と「番頭」の重要性
・中小企業の事業譲渡としての秘策・従業員のMBOについて
