2014 December Special-1 東京海上日動 WINクラブ http://www.tmn-win.com/ サイバー攻撃の脅威と企業における対策 近年、サイバー攻撃のリスクが一段と高まっています。2014 年 11 月 6 日に「サイバーセキュリティ基本法」が衆 議院本会議で可決・成立し、今後、同分野において国を挙げた取り組みがさらに進められる予定です。本稿では、サイ バー攻撃による被害の状況や、企業において取りうる対策についてご紹介します。 Ⅰ.サイバー攻撃により生じる被害 サイバー攻撃による被害のうち、近年特に顕在化しているものには、 「情報の流出」 「インターネットバンキングから の不正送金」 「WEB サイト改ざん」があります。 ① 情報の流出(=情報資産に対する被害の発生) 情報漏えいはヒューマンエラー(ミス) 、内部犯行、外部からの攻撃等、様々な原因により発生しますが、その中でも サイバー攻撃による情報漏えいの脅威が高まっています。表1は、NPO 日本ネットワークセキュリティ協会(JNSA) が定期的に報道発表情報を収集・分析して公表している「情報セキュリティインシデントに関する調査」データより、 2012 年から 2013 年にかけて、どのような原因による個人情報漏えいが多かったかを整理したものです。このデー タからも、サイバー攻撃(不正アクセス)による情報漏えいが急増している状況が見て取れます。 表1 個人情報漏えいインシデント・人数トップ 10 における原因の推移 出典: JNSA「2012 年 情報セキュリティインシデントに関する調査 ~個人情報漏えい編~」(http://www.jnsa.org/result/incident/data/2012incident_survey_ver1.1.pdf) および JNSA「2013 年 情報セキュリティインシデントに関する調査 ~個人情報漏えい編~」(http://www.jnsa.org/seminar/2014/0610/data/A4_incident.pdf) より弊社作成 ② インターネットバンキングからの不正送金(=預金に対する被害の発生) インターネットバンキングからの不正送金による被害が近年増加しています。一般社団法人全国銀行協会の調べでは、 2014 年 4~6 月に発生したインターネットバンキングによる不正送金被害は 413 件と、前年同期の 3.4 倍に急増し ています。 また、同協会は 2014 年 7 月に「法人向けインターネットバンキングにおける預金等の不正な払戻しに関する補償 の考え方について」の文書を公表し、法人において不正送金の被害が発生した場合の補償について、 「セキュリティ対策 を自ら講じ、不正利用被害の防止に努めて」いることが条件として挙げられました。セキュリティ対策を怠ると、いざ というときに補償が受けられない可能性があり、注意が必要です。 1 Copyright (c) Tokio Marine & Nichido Risk Consulting Co., Ltd. ③ WEB サイト改ざん(=他者への被害拡大) 企業における WEB サイト改ざんの被害も顕在化しています。一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)によると、2013 年初頭より急増した WEB サイト改ざんの被害報告は、2014 年に入っても月平 均 400 件程度と高止まりの状況が続いています。WEB サイトの改ざんは、コンテンツを書き換える「愉快犯」や、 ホームページを訪問した顧客の個人情報の窃取等を目的としたものがありますが、とくに後者は被害者である顧客にと って自社が「加害者」となってしまう可能性があるため、賠償損害はもとより、信用面でも企業の被るダメージは甚大 です。 Ⅱ.企業において取りうる対策 サイバー攻撃は、中には非常に高度な手法がとられるために対策が困難な事例もありますが、多くは初歩的な対策で 防ぐことが可能です。最初から完璧を求めずに、様々な機関から公開されているセキュリティ対策を調べ、できるとこ ろから速やかにかつ確実に対策を講じていくことが必要です。 以下に、近年、危険性や対策の必要性が指摘されているサイバー攻撃の一例をご紹介します(表2) 。攻撃者は、何ら かの「管理の甘さ」を突いて ID・パスワードの不正な入手や、不正なプログラム(ウィルス)の拡散等を行ってきます から、表中の「すぐに取れる対策」が有効です。これらの対策は初歩的なものであり決して万全とは言えませんが、ほ とんどコストをかけずに、確実にサイバー攻撃の脅威を低減させるという意味で、費用対効果の高い対策と言えるでし ょう。 独立行政法人情報処理推進機構(IPA)などが公表しているサイバー攻撃に関する対策についてのレポート等を積極 的に活用し、日々、対策を強化されることをお勧めします。 サイバー攻撃手法 攻撃の概要 すぐに取れる対策 関連情報の例 リスト型アカウントハッキング ( パスワードリスト攻撃) (総務省) 多くのインターネット利用者が、数種類のパスワードを複数の http://www.soumu.go.jp/main_cont システムで使いまわしていることに着目し、一部のサービスか 特に重要なシステムでは、他で使用してい ent/000265403.pdf ら漏えいしたID・パスワード等を使用して他のシステムへの不 るID・パスワードの使用を避ける (IPA) https://www.ipa.go.jp/security/txt/ 正ログインを次々と試みる手法 2013/08outline.html 不正なスマホアプリ ・スマホアプリは、Apple、Google等が提供す スマートホン(スマホ)にインストールされた不正なアプリケー (IPA) る公式アプリサイトからダウンロードする ションにより、スマホ内の情報が外部に漏えいさせる他、スマ ・インストールの際は、スマホアプリの提供 https://www.ipa.go.jp/security/txt/ ホのwifi機能を介して企業のネットワーク内にウィルスを拡散 元や、インストールの際に表示される注意 2014/09outline.html する等の手法 書きをよく確認する 標的型攻撃メール ハッキング等により別途入手した取引先の内部情報(メール ・定期的に標的型攻撃メールの注意喚起を (IPA) の履歴等)をもとに、関係者を装いウィルスを仕込んだメール 行う https://www.ipa.go.jp/security/tec を送信し、何気なく開封させることで、企業のネットワーク内に ・標的型攻撃メール対策の訓練を行う(※) hnicalwatch/20140130.html ウィルスを拡散する等の手法 (※:現在、多くのセキュリティ・IT 企業やリスクコンサル会社が、標的型攻撃メール訓練を提供しています。) 表2 近年、危険性や対策の必要性が指摘されているサイバー攻撃の一例 東京海上グループのソリューション 【超ビジネス保険(賠償条項) 】超ビジネス保険は、お客様の事業活動を取り巻く様々なリスクに対する補償をま とめてご契約いただける保険です。賠責条項では、個人情報または法人情報が漏えいしたことによる法律上の損害 賠償金と事故対応に要した費用(謝罪広告費用、原因調査費用、被害者見舞費用、コールセンター委託費用など) が補償の対象となります。 【危機管理対応コンサルティング】東京海上日動リスクコンサルティング(株)では、情報漏えい事故が発生し た際の危機管理対応体制の策定支援、役職員教育・訓練(記者会見訓練・対策本部訓練等)などを行っています(有 料) 。 詳しくは、弊社代理店・社員までご照会下さい。 2 Copyright (c) Tokio Marine & Nichido Risk Consulting Co., Ltd.
© Copyright 2024 ExpyDoc
