情報セキュリティ トピックス

サイバーセキュリティ経営ガイドライン

アバター 総合研究部 上席研究員 佐藤栄俊

2016.01.20
印刷

 皆さま、こんにちは。

 本コラムは、本年も、企業を取り巻くITの活用とリスク、制度の動向などを取り上げ、配信してまいりますので、よろしくお願いいたします

サイバーセキュリティ経営ガイドライン

 今やほとんどの企業が何かしら取り組んでいるであろうセキュリティ対策ですが、実際に事故は減ってはいません。マイナンバー制度の導入、スマートフォンやタブレット端末などのマルチデバイス化、クラウドサービスの拡大、ビッグデータやIoTの活用など、今後も企業をとりまくIT環境は確実に変化していきます。そのような中、セキュリティ対策において鍵を握るのが、いかに組織的な目線で安全なIT利用と保護ができるかどうかではないかと思われます。

 2014年11月の「サイバーセキュリティ基本法」の成立以降、各省庁によるサイバーセキュリティ関連の取組みについて公表が続いています。総務省による「サイバーセキュリティ政策推進に関する提言」(2015年5月22日)、や金融庁の「金融分野におけるサイバーセキュリティ強化に向けた取組方針」(2015年7月2日)に続き、2015年12月28日には経済産業省より「サイバーセキュリティ経営ガイドライン」が発表されました。
 同ガイドラインは、 大企業及び中小企業(小規模事業者除く)のうち、ITに関するシステムやサービスなどを供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するために策定されています。サイバー攻撃から企業を守るという観点で、経営者が認識する必要のある「3原則」、および経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」がまとめられています。

▼経済産業省「サイバーセキュリティ経営ガイドライン」

 これまでは、顧客や取引先、消費者に対して対外的に「この対策をしているから、うちの会社のセキュリティ対策は万全ですよ」と言えるような明確かつ客観的な基準がありませんでしたが、今後、企業や組織にとって同ガイドラインが定める基準が、今後情報セキュリティ対策実施の「最低基準」となるということです。
 同ガイドラインでは、上記を踏まえた上で、” 経営者が “セキュリティリスクの脅威を認識し、” 経営者が “対策の実施を推進すべきだ、と明記しています。つまり、”セキュリティ対策は経営者が率先して取り組むべきリスク事項である”ということが明確にされているのです。

セキュリティ格差

 サイバーセキュリティ経営ガイドラインでは、セキュリティ対策の具体的なフレームワークを、いかに構築して備えるかについて明確化されています。
 ただし、同ガイドラインによると、日本における肝心の企業経営者の意識は決して高くないという結果が得られています。
 積極的にセキュリティ対策を推進する経営幹部がいる企業は、日本の27%に対して、世界的には59%であり、「サイバー攻撃予防は役員レベルで議論すべきか?」という設問に対しても日本は同意意見が52%ですが、世界的にみると88%にも及んでいます。これらの調査はプライスウォーターハウスクーパースの「2014 Global State of Information Security Survey」と、KPMGジャパンの「KPMG Insight 日本におけるサイバー攻撃の状況と課題」をもとに経済産業省が作成したものですが、その差は大きいと言えます。

 内閣官房は「企業の情報セキュリティリスク開示に関する調査」で「上場企業におけるサイバー攻撃によるインシデントの発生可能性等について、事業等のリスクとして投資家に開示することの可能性を検討する」としています。サイバーセキュリティリスクは、企業経営にとって重大な事業リスクになりつつあり、その情報開示のさらなる充実が求められていると言えます。
 有価証券報告書(以下「有報」)の「事業等のリスク」中にサイバーセキュリティリスクを開示している企業もあり、サイバーセキュリティリスク開示について調査した報告書によれば、日経225社のうち、同リスクを記載している企業は平成21年度の116社、約52%から、平成25年度には136社、約60%と増加しています。さらに、内閣サイバーセキュリティセンターが重要インフラと特定している13分野(情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油)のうち業種(中分野)別の開示率を見ると、通信、銀行、その他金融、証券、保険、小売業、石油、造船、その他製造、陸運、空運、倉庫、電力、ガスの 14 業種では 100%(合計 51 社)となっており、食品は91%(10社)、鉄道バスは88%(7社)、サービス及び商社は71%(双方とも 5社)、電気機器は69%20 社)と高くなっています。
 ただし、情報通信、化学以外の分野は、記載文が5年間同一の割合が高く、リスク認識に問題があるということが示唆されます。

 5 年間サイバーセキュリティリスクの開示が無い企業が、全体 225 社中の 89 社と 40%を占め、特に鉱業、繊維、パルプ・紙、鉄鋼の 4 業種(合計 14 社)では全く開示されていません。これらの開示されていない企業では、リスクとして知的財産、薬の副作用、各種法規制、事故・災害、海外情勢変動と言ったものが挙げられています。例えば、素材産業では開示割合が 32.8%と相対的に低く、この理由として、原燃料価格の上昇、為替相場の変動、原材料供給の逼迫等がリスクとして記載されており、原材料費や為替の影響、海外情勢による原材料の輸入が困難になるリスクが高いのに対し、工場関連のシステムが外部と接続していない等の理由からサイバーセキュリティリスク意識が低いことや、顧客が消費者ではなく製品加工/製造業等の他産業であることが多いため個人情報漏えいのリスクを感じにくいといったことが考えられるとしています。

▼内閣サイバーセキュリティセンター「企業の情報セキュリティリスク開示に関する調査」

 ちなみに米国では、サイバーセキュリティリスクに関する情報の開示について、法的拘束力はないものの、Form 10-K(SECに提出する年次報告書)等へ、どのような場合に何を開示すべきかを判断する助けとなるガイダンス”CF Disclosure Guidance: Topic No. 2″があります。リスク開示調査では海外事例も調査しており、米国の重要インフラ産業を代表する企業のForm 10-Kには「自社の潜在的なリスクや想定される被害について詳しく述べられており、自社の被害事例も開示されている」ということです。また、このガイダンスの存在が、同リスクの情報開示に影響を与えている可能性があるとしています。

 一方でセキュリティ対策は、設備投資のように金額に置き換えにくい部分があるのも事実です。そのためセキュリティ対策は力のいれどころと抜きどころが重要であり、経営者はどこまでセキュリティ対策の現場に権限を与えるべきか、経営層が判断する情報として何を提示させるか明示する必要があります。
 とはいえ、企業がリスク管理に投入できるリソースは限られています。また、リソースの配分はあくまで自社のリスク判断事項ですが、リソースを重点的に配分(投入)しよう(逆に、そうでない部分についてはより簡素化した取組みレベルで行う)とする「リスクベース・アプローチ」が実務的かつ有効だと言えます。

 情報管理における「リスクベース・アプローチ」の詳細(委託先管理や自社内のチェック項目等)については次の機会にレポートいたします。

事故を前提とした継続的な対策

 不正アクセスやサイバー攻撃に対しては、情報システム部門だけではなく、経営層を巻き込んだ全社的な取り組みが大切です。2009年から当時の内閣官房情報セキュリティセンター(NISC)が「事故前提社会」という文言を用いて、入口対策だけではマルウェア感染は避けられないことを示唆していました。そこでは、マネジメント体制やプロセス、システムを全体的に把握し、管理していく重要性を説いています。
 昨年の大きなトピックスのひとつは日本年金機構の事故だと言えますが、特筆すべきは年金機構、NISC、そして厚生労働省と、さまざまな角度からの検証が行われ、詳細な報告書が公表されて多方面で教訓となった点です。新たなサイバーセキュリティ戦略の策定や、CSIRT(*)の取り組みの活発化など、今年のニュースに登場する項目にも大きな影響が見て取れます。

(*)CSIRTとは

(Computer Security Incident Response Team)の略で、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム。コンピュータシステムやネットワークに保安上の問題に繋がる事象が発生した際に対応する組織。社内の情報システムや通信ネットワークでウィルス感染や不正アクセス、サービス拒否攻撃(DoS攻撃)などセキュリティ上の脅威となる現象や行為が発生した際に、組織内の対応窓口となって被害の拡大防止や関連情報の収集・告知、再発防止策の策定などの活動を行う。また、外部のCSIRTと連携して事件・事故の被害情報やシステムの脆弱性についての情報を共有したり、一般利用者へ情報セキュリティに関する教育や啓発、広報などの活動を行うこともある。大組織では常設の機関として専任の人員を置く場合もあるが、普段は情報システム関連の業務を行なうスタッフが事象発生時に集まって対応するという形態もある。

 情報セキュリティにおける「事故前提」は、事故が起きることは避けられないからと悲観的に捉えられるケースが多いですが、この思想の真意は事故に学びさらに進んだ対策に生かすことにあります。この視点から昨年のトピックスを見てみると、事故に学びさらにセキュリティ対策を進化させ得る人や組織と、それができない人や組織との間の格差の広がりが懸念されます。
 最善のセキュリティ対策は脅威からの隔離にあるとの考え方がまだ根強いと言えますが、これだけでは標的型攻撃などには対抗できません。資産である情報の保護対策への取り組みは、政府をはじめ社会全体で取り組むべき重要な課題だと言えますが、まずは個々の人や組織が主体的に取り組んで、取り残される組に入らないように努力することが何よりも肝心であるといえます。

 セキュリティは目に見える費用対効果の観点から、全社的な取り組みが進まないことも多いと思います。例えば、対策として、高額なSIEM(Security Information and Event Management:セキュリティ情報およびイベント管理)などのツールを導入しても、それを活用するプロセスや人・組織・体制が整備されておらず、使いこなせないということもあります。特に、SIEMツールの運用においては、インシデントを検知するためのフィルター設定に多大な工数が必要なため、なおさらです。その結果、不必要な検知が大量に発生し、検知したものをリスクとして認知できずに見逃すといった状況に陥ります。具体的に取り組みを進める際には、大きく、ITマネジメント(CSIRTなどの体制、プロセス、システム運用)、システム構成/ツール、従業員のIT教育、予算措置/リスクの考え方、といった観点から包括的に検討していくことが必要です。
 システム面での強化については、独立行政法人 情報処理推進機構(IPA)が公開している「『高度標的型攻撃』対策に向けたシステム設計ガイド」(設計ガイド)や、米国国立標準技術研究所(NIST)が公開している「Framework for Improving Critical Infrastructure Cybersecurity」も参考になります。これらを参考にして、ツールの導入だけでなく、「プロセス」「人(組織・体制)」「ツール」の3つについてバランスよく対策を講じていくことがポイントになります。

▼情報処理推進機構「『高度標的型攻撃』対策に向けたシステム設計ガイド」

▼米国国立標準技術研究所(NIST)「Framework for Improving Critical Infrastructure Cybersecurity」

 セキュリティ対策の現場は目的に応じた対策を行うと同時に、ログなどを視覚的にまとめたレポートを経営層へ報告する一定の仕組みを作り出す必要があります。また、経営層はレポートをもとに意図したセキュリティ対策が講じられているか、さらなる改善が必要なのか判断し、企業におけるセキュリティ対策は単発ではなく、中長期経営計画とともに取り組む覚悟が必要だと言えます。
 IDS(侵入検知)やログ解析といったセキュリティ管理や、ワンタイムパスワード、生体認証といった認証技術など、セキュリティ対策に必要なアプローチは多岐にわたります。ただ、今後技術革新がとどまることはなく、外部からのサイバー攻撃者も手を緩めることはありません。顧客や株主といったステークホルダーの信頼度を高めるためには、常日頃からのセキュリティ対策の見直しと高度化、適切な情報開示といった取り組みが目下の急務だと言えます。

2.最近のトピックス

■独立行政法人情報処理推進機構【注意喚起】インターネットに接続する複合機等のオフィス機器の再点検を!

 独立行政法人 情報処理推進機構(IPA)は、1月6日、ネットワーク接続機能を備えた複合機等のオフィス機器のセキュリティ設定の再点検を呼びかけています。これは、機器内に保存されたデータが、意図せず外部から閲覧できる状態になっていたことが、学術関係機関において報じられたことから注意喚起したものです。同様の注意喚起は、2013年11月にも行われているほか、2014年2月には、「増加するインターネット接続機器の不適切な情報公開とその対策(IPAテクニカルウォッチ)」という対策文書が公開されています。
 インターネット接続機能を備えたオフィス機器は、他のIT機器と同様のセキュリティ設定が必要です。そこで、IPAでは、システム管理者に対し、オフィス機器の説明書に記載されたセキュリティ対策を確認するとともに、以下の観点に沿った対策を実施するよう呼びかけています。


(1)管理の明確化

  • オフィス機器のネットワーク接続に関して、ルールを定め、内部に周知させる
  • オフィス機器の管理者を明確にする

(2)ネットワークによる保護

  • 必要性がない場合には、オフィス機器をインターネットに接続しない
  • インターネットとオフィス機器を接続する場合には、原則ファイアウォールやブロードバンドルータを経由させ、許可する通信だけに限定する

(3)オフィス機器の適切な設定

  • 管理者用アカウント/パスワードを工場出荷時に設定されているものから変更する
  • 機器の製品のホームページを確認し、ソフトウェアを最新の状態に更新する

 オフィス機器や家電製品などがインターネットに接続され利便性が高まっている反面、外部から不正アクセスされるセキュリティ上のリスクが高まっています。こうしたリスクを低減するため、機器メーカーから脆弱性対策情報(セキュリティパッチ)が提供された場合は、速やかに適用し、脆弱性への対応を行うことが重要です。

■独立行政法人情報処理推進機構「2015年度情報セキュリティに対する意識調査」報告書について

 IPA(独立行政法人情報処理推進機構)は、情報セキュリティに関する対策情報の発信、普及啓発等の活動に役立てることを目的として、インターネット利用者を対象に「2015年度 情報セキュリティの脅威に対する意識調査」「2015年度 情報セキュリティの倫理に対する意識査」を実施し、その報告書を12月24日(木)から、IPAのWebサイトで公開しました。
 この調査は2005年から毎年、パソコンおよびスマートデバイス利用者を対象に、情報セキュリティ対策の実施状況、情報発信に際しての意識、法令遵守に関する意識についてアンケートを実施し集計したもので、パソコン利用者5,000人、スマートデバイス利用者5,000人、計1万人から回答を得ています。

 今回の調査結果の主なポイントは次のとおりです。

(1) 悪意の投稿経験があるある人は、2014年度の21.5%から増加し24.7%という結果が得られており、約3%増加しています。

 その理由と前年比割合は、「いらいらしたから」が5.3%増、「相手に仕返しするため」は5.4%増加し、投稿後の心理では「気が済んだ、すっとした」が2.9%増などと省みない傾向が増加しています。その一方で、「やらなければよかったと後悔した」も2.9%増加し、全体ではその割合は12.1%に過ぎないという結果です。

(2) SNSアカウントのリセット・削除経験者のうち、ストーキング被害経験は8.0%、ハッキング被害は5.7%です。

 スマートデバイス利用者の「SNSのID(アカウント)をリセット・削除した経験」の有無は、Facebook(19.3%)、mixi(22.7%)、LINE(19.1%)、Twitter(24.7%)とさまざまなサービスで約2割が経験ありとなっています。その理由には「悪質なユーザに粘着(ネットストーキング)されたため」(8.0%)、「ID(アカウント)をハッキングされてサービスを利用できなくなったため」(5.7%)と、少数ながらも一定割合の方々が悪意ある行為の被害に遭っていることが分かっています。

 フリーWi-Fiを、金銭のやり取り等が生じる「ネットショッピングやネットオークションでの買い物」に利用する割合が32.4%、「インターネットバンキングやオンライントレード等の金融関連サービス」に利用する割合が11.3%です。この要因の1つにはフリーWi-Fiの利用割合が昨年の8.8%から28.7%に急増したことが考えられます。
2020年の東京オリンピック・パラリンピックに向けて、外国人観光客向けのフリーWi-Fiの増加が見込まれる中、「不特定多数とアクセス環境を共有する」フリーWi-Fiはその利用者を狙った盗聴による情報窃取などの被害が懸念されます。利用者は、フリーWi-FiでIDやパスワード等の機微な情報の入力が必要なサービスを利用しない等、使途に留意する必要があります。

(3) 最も脆弱性を悪用される可能性の高い「Adobe Flash Player」を更新していない割合は利用者のうち約2割(18.2%)

 「Adobe Flash Player」を「インストールしている」と回答した割合は68.6%で、その利用者に「ソフトウェアの更新状況」を質問したところ、更新していると回答したのは81.8%でした。その他同様に利用者に更新の有無を質問したところ、「Adobe Reader」(74.1%)、「JAVA」(70.9%)で更新率は7割を超えています。しかし、裏を返せば脆弱性を悪用されやすい製品でも依然2~3割の利用者が更新をせず、脆弱性が放置されているといえます。
 直近では、1月4日、JPCERTコーディネーションセンター(JPCERT/CC)が「Adobe Flash Player」の脆弱性について、注意を呼びかけています。

■JPCERTコーディネーションセンター(JPCERT/CC)「Adobe Flash Player の脆弱性 (APSB16-01) に関する注意喚起」

 利用者は、自身のパソコンにインストールされているソフトウェアを定期的に確認・更新し、使用しているソフトウェアへの脆弱性対策を漏れなく実施することが望まれます。

■国民生活センター「消費者問題に関する2015年の10大項目」

 国民生活センターは、12月17日、「消費者問題に関する10大項目」を発表しました。これは、消費者問題として社会的注目を集めたものや消費生活相談が多く寄せられたものなどから選定し毎年公表しています。セキュリティ関連の項目では、「公的機関をかたる詐欺被害の発生」が挙げられていますが、これは、年金情報の大量流出事件やマイナンバー制度の開始に便乗した「あなたの個人情報が漏れているので削除する」などと電話等をかけてきて、最終的にはお金をだまし取ろうとする手口等が代表的です。
 また、「決済手段の多様化によりキャッシュレスが進展」も挙げられていますが、インターネットの普及や決済手段の多様化により、キャッシュレス化が進んでおり、クレジットカードや電子マネーの利用頻度が高まっていることが指摘されています。なかでも「プリペイドカード」の中には、購入した金額をカード本体に記録するのではなく、発行会社のサーバーで管理するものがあり、こうしたサーバーに登録された金額(価値)を盗み取ろうとする詐欺が発生しています。
 昨日の報道によると、実在するサイトをかたる架空業者が、有料動画サイトの未払い料金などの名目で、消費者からプリペイドカード式の電子マネーをだまし取る被害が相次いでいます。

 その他、同センターでは、「大規模な自然災害が多発」「分譲マンションの基礎杭データ改ざんが発覚」などの項目を挙げています。10大項目は以下の通りです。

  • 公的機関をかたる詐欺的勧誘が依然高水準 高齢者がターゲットに
  • ウイルスメールにより大量の年金情報が流出
  • マイナンバー通知開始 便乗詐欺被害が発生
  • 分譲マンションの基礎杭データ改ざんが発覚 大手企業への不信感高まる
  • 決済手段の多様化によりキャッシュレスが進展 プリカ詐欺も発生
  • 消費者トラブルのグローバル化 体制整備始まる
  • 大規模自然災害相次ぐ 被害に便乗した消費者トラブルも
  • 子どもの事故 防止へ向けて引き続き取り組みを強化
  • 変わる制度 新たな制度 消費者ホットラインも「188」へ
  • 消費者関連法令 次々と見直し

■フィッシング対策協議会「2015年12月の月次報告書」

 1月4日、フィッシング対策協議会は、2015年12月の月次報告書を公開しました。これによると、フィッシング報告件数は2,540件と前月の246件より2,294件増加しています。また、フィッシングサイトのURL件数は278件で、前月より182件増加しており、フィッシングに悪用されたブランド件数は17件で、前月より2件増加しています。
 同協議会によると、12月は、前月と比較して約10倍以上のフィッシング報告件数があり、手口の内訳は、金融機関をかたるフィッシングが98%を占め、年末にかけて複数の銀行でフィッシングが発生したことが原因として挙げられます。フィッシング対策協議会では、フィッシングかどうかの判断に迷うメールや、不審なメールを受け取った場合は、各サービス事業者の問合せ窓口や同協議会まで連絡するよう呼びかけています。
 フィッシング被害を未然に防ぐために、メールの取扱いには十分注意し、アクセスしたサイトが本物かどうか、「アドレスバー」のドメイン名を目視確認するなどの対応を心がけるとともに、IDやパスワードなどのアカウント情報の設定、管理は厳重に行う必要があります。

3.最近の個人情報漏えい事故(2016年12月)

 下記の表は、先月12月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
 ※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。

業種 発生原因 対象 備考
1 書類紛失 世帯主の氏名や住所、世帯人数などが記載された121世帯分の国勢調査の書類 施錠した会議室で保管していましたが、その後の点検で紛失が判明
2 研究センター メール誤送信 メールアドレス249件 誤って宛先を「To」に設定
3 都立高校 手帳紛失 生徒の氏名や評価など、約240人分
4 メール誤送信 1891人分の個人情報 添付ファイルを誤って、申込者4人を含む8人に電子メールで送信
5 通販サイト 不正アクセス クレジットカード決済を利用した顧客情報712件で、住所、カード名義、カード番号、有効期限など
6 書類入れ間違い マイナンバー含む転出証明書を2人分 「封入者」と「点検者」の複数の職員で点検、確認を行うダブルチェック体制
7 私立大学 USBメモリ紛失 全学生と保証人ら計6万2308人の氏名や住所、電話番号など USBメモリーは学費収納業務の委託業者にデータを渡すため使用しており、大学職員が他と一緒にごみ箱に捨てた可能性
8 航空会社 システム不具合 氏名と生年月日、住所、クレジットカード番号の一部
9 市立小学校 調査票紛失 生徒26人分の調査票 紛失経緯一切不明
10 書類紛失 57世帯79人分の「ひとり暮らし等高齢者世帯生活調査票」 民生委員が書類を使って自宅で作業。家族が誤って処分してしまった可能性
11 ゴルフ場運営 不正アクセス 顧客個人情報359件 サイトの外部委託先での不正アクセス
12 私立大学 ノートPC盗難 学生225人の氏名や学籍番号をはじめ、同准教授が非常勤講師として勤める別の大学の学生に関する情報
13 電力会社 書類紛失 入構者の氏名603件 業務日誌や入構受付表を自宅へ持ち帰っていたところ盗難
14 旅行代理店 書類紛失 クレジットカード売上票のカード会社控え99件。対象となる顧客は90人で、顧客の署名、ローマ字表記の氏名、カード番号、有効期限、購入金額などが記載 保管センターへ送付する過程で所在不明
15 私立大学 メール誤送信 学生と卒業生計234人分の成績情報 誤って同学科の現役学生14人にメールで送信
16 消防庁 書類紛失 講習の受講申請者51人の氏名や生年月日など 電車内の網棚に置き忘れて下車
17 中央競馬会 USBメモリ紛失 シニアカード会員3168人
18 領収書紛失 集金した家賃や入居者4世帯分の住所や名前などが記載された領収書 職員が帰宅途中にスーパーに立ち寄った際、車の窓ガラスが割られ、車内に置いたままにしていた鞄を盗まれた
19 五輪組織委員会 メール誤送信 100人分のメールアドレス 誤ってToに設定
20 労働局 文書紛失 「日雇労働被保険者手帳」の交付記録で、記録には、日雇い労働者49人の名前や住所、年齢など 誤廃棄の可能性
21 医療センター 不正アクセス なし 県警が不正アクセス禁止法の疑いで捜査中
22 市立小学校 外付けHD紛失 児童29人分の氏名など

 「5」、「11」、「21」の事案の通り、今年も引き続き外部からのサイバー攻撃による被害は増加するものと思われます。
 警察庁が2015年10月にまとめた「不正アクセス行為対策等の実態調査」によれば、今現在でもWebページの改ざんやメールの不正中継といった被害が全体の50%を占め、サイバー攻撃の手段もマルウェアなどを使った感染や社外からの不正アクセスが多いということです。このようなサイバー攻撃に対して、対応する管理体制もシステム運用管理者が兼務するケースが74.9%であり専従の担当者を設置している企業はたった11.7%という状況です。

▼警察庁「不正アクセス行為対策等の実態調査」

 一部報道によると、昨年日本年金機構がサイバー攻撃を受け、125万件の個人情報が流出した問題で、同機構への攻撃に使われたのが、東京商工会議所や石油連盟など他の3団体への攻撃に使われたものと類似のウィルスだったとしています。
 いずれにせよ、外部からの攻撃は仕事などの要件を装った電子メールによる「標的型攻撃」がすべての入り口になっています。日本年金機構に対して、メールの添付ファイルを不注意に開くことへの批判も見受けられますが、簡単に見破り、被害を未然に防止するというのは分かっていても難しいのが現実です。本件だけではなく、標的型攻撃は日々精度が高くなり、手口が巧妙化しています。業務で毎日電子メールを利用せざるを得ない以上、そのリスクをしっかり認識したうえで組織的な体制や対策を検討する必要があります。

 標的型攻撃メールとは、特定の組織や個人宛に送られるウィルス付きメールであり、PCを感染させ組織内に侵入するものです。標的型攻撃メールは、あたかも業務に関係があるメールであるかのように送信者名、件名、本文を巧妙に装っており、普段から注意し、あやしい添付ファイルは開かないように心掛けていても、送信者が業務に関係のある信頼できる組織で、メールの件名が自分の業務に関係がありそうなものになっていれば、つい信用してメールを開いてしまう可能性があります。標的型攻撃メールは新しい手法ではありませんが、より関係者に近いように見せかけ、より精度の高い巧妙な手口でアプローチに洗練化がすすんでおり、攻撃を可能としてしまっているので注意が必要です。

セミナーや研修について

 当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
 セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

【お問い合わせ】

株式会社エス・ピー・ネットワーク 総合研究室

Mail:souken@sp-network.co.jp

TEL:03-6891-5556

Back to Top