この記事の内容
ITシステムにおけるセキュリティ対策の重要性を理解しましょう。
チェックすべきセキュリティ情報サイトを絞って継続的に情報収集しましょう。
企業にとってどのようなセキュリティリスクがあるか、概要を押さえましょう。
もくじ
ITシステムにおけるセキュリティ対策の重要性
攻撃者の目的は?
社会でITシステムの利用が拡大すればするほど、サイバー攻撃が増えていくことは各種ニュースを見てもお分かりかと思います。
では、一体攻撃者の目的は何なのでしょうか? さすがに攻撃者にアンケートを取ることが難しいので(笑)、傾向から考えると、昔よりより広い意味で金銭目的にシフトしていると言われています。
サイバー攻撃の主な目的
金銭奪取
産業スパイ
営業妨害
政治的目的
自己承認欲求
被害例と被害額は?
被害例
実際に、企業はどのようなセキュリティ被害を受けているのでしょうか?
以下は大手セキュリティ企業のマカフィーがまとめた2020年の10大セキュリティ事件です。
「マカフィー、2020年の10大セキュリティ事件ランキング」
https://www.mcafee.com/enterprise/ja-jp/about/newsroom/press-releases/press-release.html?news_id=2020121501
※クリックすると画像が拡大します。
出典:マカフィー、2020年の10大セキュリティ事件ランキングを発表 第7回「2020年のセキュリティ事件に関する意識調査」を実施
ここでは実名は出ていませんが、
1位は、ドコモ口座(docomo口座)です。こちらセキュリティ被害ではなく、自社のサービスシステムの問題となります。
「ドコモ口座」の登録を悪用して、他社の銀行口座から金銭を引き出す被害が発生した事案です。社会的にも大問題になりました。2019年に発生した 7Pay の事案では、サービス廃止まで追い込まれてしまいましたので、外部ユーザ向けサービスのセキュリティ対策が甘いと、如何に大きな問題になるかを示してくれた事件だと思います。
2位は、ゲーム会社のカプコンです。ランサムウェア”の被害により、大規模なデータ流出を引き起こしていることが判明した事案です。
ランサムウェアというウイルスにより、企業の重要な情報が暗号化されてしまい、複合化するには攻撃者に金銭を支払わないといけないという仕組みの攻撃です。これはどこの企業にも発生する可能性がある事案で、非常に大きなインパクトでした。
被害額
では、被害額はどうでしょうか?
同じく大手セキュリティ企業のトレンドマイクロがまとめた法人組織のセキュリティ動向調査 2020年版を見ていきましょう。
「トレンドマイクロ、法人組織のセキュリティ動向調査 2020年版」
https://www.trendmicro.com/ja_jp/about/press-release/2020/pr-20201002-01.html
国内法人組織を対象とする本調査の回答者のうち78.5%が2019年4月~2020年3月の1年間に何かしらのセキュリティインシデントを経験したことが明らかになりました。
※クリックすると画像が拡大します。
内容的には詐欺メールの被害が広範囲に及んでいることが分かります。カプコンが被害を受けたランサムウェアも上位にきています。
※クリックすると画像が拡大します。
被害額は、49.6%が1000万円未満の被害だった一方で、15.7%で1億円以上の被害が発生していました。1億円以上の被害が発生した回答者のセキュリティインシデント内容を見ると、特定のセキュリティインシデントが被害額を牽引しているのではなく、情報漏えい、データの改ざん、データの暗号化など複数のインシデントが発生することで金額が膨れ上がる傾向にありました。
※クリックすると画像が拡大します。
ITセキュリティの知識習得はなぜ難しいのか?
そもそも技術的に広範囲で難しい
セキュリティの技術は本当に深く、ITインフラからプログラムまで広範囲に及びますので、そもそもITエンジニアにとっても知識習得が難しい分野です。
経済産業省も、「情報セキュリティ分野の人材ニーズについて」で、「ホワイトハッカー」の必要性を書いています。
ホワイトハッカーとは、技術や知識を使ってセキュリティ対策を施したり、悪意を持つハッカーからの攻撃を防いだりする活動を行うエンジニアのことです。
逆に言えば、高いセキュリティ知識を持ったエンジニアは、将来非常に有望であるということが言えます。
「情報セキュリティ分野の人材ニーズについて」
https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/joho_keizai/it_jinzai/pdf/002_03_00.pdf
情報が散乱している
実は、サイバーセキュリティの情報は、大変ネット上の散乱していて、ビジネスパーソンにとって情報を整理することは大変難しくなっています。
例えば、政府系の団体が運用している主なセキュリティ情報サイトだけでも大量にあります。以下はその一部です。
政府系団体のセキュリティ情報サイト
情報処理推進機構
https://www.ipa.go.jp/security/index.html
JPCERTコーディネーションセンター
https://www.jpcert.or.jp/
内閣サイバーセキュリティセンター
https://www.nisc.go.jp/
日本サイバー犯罪対策センター
https://www.jc3.or.jp/
情報通信研究機構
http://www.nict.go.jp/
警察庁サイバー犯罪対策プロジェクト
https://www.npa.go.jp/cyber/
日本データ通信協会 テレコム・アイザック推進会議
https://www.telecom-isac.jp/
まずは一つのセキュリティ情報サイトをチェックしましょう!
上記は全て国が関連する団体で、これ以外にも民間の会社が提供するセキュリティサイトがあります。本当に混乱しますよね。
おすすめは、まずは一つのサイトをしっかり注目することだと思います。
私のおすすめは情報処理推進機構(IPA)です。IPAは、日本のIT国家戦略を技術面・人材面から支えるために設立された独立行政法人で、所管官庁は経済産業省です。
比較的ベーシックで、かつ分かりやすい情報がまとまっているサイトです。多くの政府団体や企業もこのサイトを参考にしています。
情報処理推進機構(IPA)
https://www.ipa.go.jp/security/index.html
※クリックすると画像が拡大します。
「中小企業の情報セキュリティ対策ガイドライン」が公開されており、ビジネスパーソンには分かりやすい内容となっています。
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html
※クリックすると画像が拡大します。
また、2021年に注意すべきセキュリティ脅威について、個人と組織向けにそれぞれまとめてくれていて、これも分かりやすいです。
「情報セキュリティ10大脅威 2021」
https://www.ipa.go.jp/security/vuln/10threats2021.html
※クリックすると画像が拡大します。
ビジネスパーソンが押さえるべきセキュリティリスクは?
先述の「情報セキュリティ10大脅威 2021」にも関連しますが、まずビジネスパーソンとしては、大まかにどんなリスクが流行しているのかを把握して、自分が携わるシステムについて、IT担当者やIT事業者と会話できる基礎知識を習得する必要があります。
以下は発生する可能性があるセキュリティ問題の例です。これらを考慮して、関係者と相談しながら対策を実施する必要があります。
「ビジネスパーソンが押さえるべきセキュリティリスク例」 ※クリックすると画像が拡大します。
この中で、ビジネスパーソンが理解すべきことは、「標的型攻撃」というキーワードです。
まさに言葉の通り、攻撃者は特定の組織を狙って攻撃を仕掛けてくるということです。それは大企業だけとは限りません。大企業と取引のある中小企業をターゲットして、そこから大企業を狙うケースもありますので、中小企業だから対策が必要ないということではありません。
あまりにも対策が甘いと、責任問題になる可能性がありますので、組織の大小関わらず対策が必要です。
また、トレンドマイクロの調査でもありました通り、メールを使った攻撃が非常に盛んです。9割以上の攻撃はメールから来ると言われていますので、メールセキュリティレベル向上は必須と言えます。
まとめ
今回は、技術的なことではなく、ITシステムのセキュリティについて、被害例や被害額は? どこから情報を収集すれば良いか? そして今後流行する脅威は何か? といった観点で解説しました。
一度問題が発生すれば、事業そのものに大きな影響を与える可能性がありますので、継続してアップデートしていくことが重要だと考えます。
この記事のまとめ
とにかくセキュリティ対策は企業にとって、また一般のビジネスパーソンにとっても重要であることを再認識しましょう。
日々我々の会社は攻撃の危険にさらされていること、また、被害が発生した場合は非常に深刻になることを再認識しましょう。
まずはセキュリティに対する意識を高め、特定の情報ソースに絞って継続してアップデートをウォッチしましょう。
情報の信頼性と量から考えて、情報処理推進機構(IPA)がおすすめです。
事故や攻撃の種類を把握して、IT担当者や事業者と相談して対策しましょう。