独立行政法人 情報処理推進機構(IPA)が中心となり、経済産業省が公開している「サイバーセキュリティ経営ガイドライン Ver 2.0」によれば、サイバー攻撃による企業の経営リスクが増大しています。同ガイドラインの中では、以下のような警鐘が鳴らされています。
【サイバーセキュリティ経営ガイドライン・概要】
- サイバー攻撃は年々高度化、巧妙化してきており、サイバー攻撃によって純利益の半分以上を失う企業が出るなど、深刻な影響を引き起こす事件が発生している。
- さらには、攻撃の踏み台にされて外部へ攻撃をしてしまうだけでなく、国の安全保障上重要な技術情報の流出、重要インフラにおける供給停止など、国民の社会生活に重大な影響を及ぼす可能性のある攻撃も発生しており、その脅威は増大してきている。
- 経営者が適切なセキュリティ投資を行わずに社会に対して損害を与えてしまった場合、社会からリスク対応の是非、さらには経営責任や法的責任が問われる可能性がある。また、国内外に関わらずサプライチェーンのセキュリティ対策の必要性も高まっており、業務を請け負う企業にあっては、国際的なビジネスに影響をもたらす可能性が出てきている。
- また、セキュリティ投資は事業継続性の確保やサイバー攻撃に対する防衛力の向上にとどまるものではなく、IT を利活用して企業の収益を生み出す上でも重要な要素となる。セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えることが重要である。
このように、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。
国内でも拡大するサイバー攻撃の被害
事実、日本でもサイバー攻撃の件数は増加の傾向にあり、この1~2年では深刻な被害も発生しています。記憶に新しい2016年の被害を調べるだけでも、以下のような大きな情報漏えいにつながる事件が発生しています。
2016/1/3公共機関・官庁・行政機関、マルウェア感染による情報漏えい
標的型攻撃のための電子メールを受信した当該機関の職員用PC合計31台がマルウェアに感染し、当該PCからアクセス可能なファイル共有サーバに保存されていた国民の個人情報125万件が漏えいした。
2015年5月8日に内閣サイバーセキュリティセンター(NISC)が異常なデータの流れに気付き、関係省庁に連絡したことによって発覚し、調査を依頼された警察が国内の無関係な企業が有するサーバ上で当該機関の情報を発見したことにより、漏えいの事実が明らかとなった。
標的型攻撃はマルウェアの添付とマルウェアをダウンロードするURLの記載の2種類の方法で行われ、感染したPCにはいずれもウイルス対策ソフトウェアが導入されていたが、マルウェアとしての検出はいずれもなされなかったとしている。
漏えいした情報には、氏名・生年月日・住所及び社会保障用の番号が含まれる。漏えい元となったファイル共有サーバには個人情報の格納は原則禁止とされていたが、個人への連絡を目的とした文書作成のため、基幹システムに保存されていた個人情報から抽出した情報が格納されていた。
2016/6/14旅行業、グループ企業への標的型攻撃により、顧客の個人情報が社外に漏えいした可能性
当該企業は2016年6月14日、不正アクセスによる個人情報流出の可能性について報道発表を行った。
3月15日に同社のインターネット販売を受け持つ子会社の従業員が標的型攻撃電子メールを開封したことにより、子会社の端末がマルウェアに感染した。マルウェア感染後、社内で不審な通信が観測されているほか、社内サーバ内に攻撃者が作成したとみられるCSV形式のファイルが作成され、その後削除された形跡が発見されており、セキュリティ会社を交えた検討の結果、個人情報漏えいの可能性があるとの判断に至っている。漏えいした可能性のある個人情報は自社分が678万名、このほかに提携先企業が扱う個人情報が34万件以上ある。
個人情報の内容には、氏名・性別・生年月日・電子メールアドレス・住所・郵便番号・パスポート番号・パスポート取得日が含まれている。情報漏えいの可能性に関する公表が遅れた理由として、対象者の特定が不十分な状態では利用者に不安と混乱を招くことを懸念し、特定できた段階で公表することとしたと同社は説明している。
同社では事故を受けてCSIRT(コンピュータセキュリティインシデントレスポンスチーム)を社内に設置したほか、再発防止策をまとめた報告書を所管官庁に提出した。
メールから拡大している標的型攻撃の深刻さ
大量の情報が漏えいした2016年の2大被害には、共通点があります。それは、担当者が受け取った標的型攻撃メールです。この数年で、通常のメールを装った巧妙なサイバー攻撃が多発しています。
さらに2016年から2017年にかけては、世界的にはクラウドを悪用した不正アクセスや攻撃が増加しています。マイクロソフトの調査によれば、その数は1年で3倍に拡大しています。
多くのクラウドサービスは、ユーザーIDとパスワードだけでアクセスできるので、ハッキングされやすいのです。
メールやウェブにクラウドを活用しながら、社員を悪質なサイバー攻撃から守るためには、最先端のセキュリティ対策が求められています。Microsoft 365 Enterpriseでは、インテリジェントなセキュリティ対策により、サービスを利用するユーザーのIDやアプリにデータ、さらにはデバイスを保護します。
比類のない規模で脅威を予測しプロアクティブに対応する Microsoft Intelligent Security Graph
Microsoft 365 Enterpriseによるインテリジェントなセキュリティ対策では、機械学習でデータの安全を確保します。具体的には、毎月 4,500 億件以上に上る認証を処理し、マルウェアやフィッシングを検出するために 4,000 億通のメールをスキャンして、10 億台ものデバイスをアップデートするアドバンスド アナリティクスを活用して得られるインサイトから、攻撃を即座に検出し対応へと役立たせます。
また、インテリジェント セキュリティ グラフでサイバー防衛を強化します。マイクロソフトのインテリジェント セキュリティ グラフでは、コネクテッド システムを保護し、変化し続ける脅威の状況を完全に掌握できます。
広範にわたるセキュリティ インテリジェンス、機械学習、行動分析から得られた豊富なインサイトが、調査の質の向上と対応の迅速化に役立ちます。最先端のセキュリティ対策は、常に世界中からサイバー攻撃を受けていることを前提に、プロアクティブな攻撃の察知と、攻撃対象のアカウントやデータを保護することで、高度な脅威を阻止します。さらに、Microsoft 365 Enterpriseでは、データアーカイブやガバナンスに証拠開示を管理することで、企業のコンプライアンスにも貢献します。
