日々のニュースの中で企業による顧客情報や個人情報の漏えい事件を目にすることが、もはや珍しくない世の中になりました。
こうした出来事は企業にとって不可抗力的な側面があるいとはいえ、そこで発生する経済的な損失以上に、企業にとって大きなダメージとなるのが社会的信用の失墜です。また個人情報の漏えいには至らないまでも、送信者が不明なメールに添付されていたファイルを開いてしまったがために、重要なデータが破壊され、業務が停止してしまったという話もよく聞きます。
こうしたことの背景として共通しているのが、事業の運営主体であるはずの企業自身のサイバーセキュリティに対する認識不足です。
この記事では、自らの組織を守り、事業を安全に継続するために必要なサイバーセキュリティの基礎知識についてお伝えします。
サイバーセキュリティとは何か?
そもそも「サイバーセキュリティ」とは何を意味するのでしょうか。これについては、我が国の法律である「サイバーセキュリティ基本法」が簡潔に定義してくれています。まず、2020年4月に施行されたこの法律は以下のことを目的としています。
- サイバーセキュリティに関する施策を総合的かつ効果的に推進し、経済社会の活力の向上と持続的発展、国民が安全で安心して暮らせる社会の実現を図る
- 国際社会の平和と安全の確保、我が国の安全保障に寄与する
そして、この法律の第2条ではサイバーセキュリティの定義が示されています。
対象 |
電子的・磁気的方式など人の知覚では認識できない方式で記録・発信・伝送・受信される情報 |
実施すべきこと |
・ 対象の漏えい・滅失・毀損の防止およびその他の安全管理措置 ・ 情報システムと通信ネットワークの安全性・信頼性の確保 ・ 安全性・信頼性が確保された状態の適切な維持管理 |
つまり、サイバーセキュリティとは「コンピューター、ネットワークおよび記録媒体で構成されるシステム(ICTシステム)上のデータを盗まれたり、破壊されたりしないように適切な管理を行うこと」だと言えます。具体的には、サイバーセキュリティに該当する施策としては以下のようなものが挙げられます。
- コンピューターネットワークを通じて侵入しようとする行為の撃退
- アプリケーションソフトのセキュリティ更新の実施
- 保管しているデータや通信中のデータの暗号化
- システムやデータへのアクセス管理
- データの改ざんおよび破壊の防止および正統性の保証
- 万が一攻撃を受けた場合の対処や復旧
ネットワークを介した社内システムへの侵入やデータの改ざん、破壊行為は、一般に「サイバー攻撃」「サイバーテロ」「セキュリティ攻撃」、また攻撃をしかけてくる者は「攻撃者」「アタッカー」「サイバー犯罪者」「ハッカー」などと呼ばれます。
では、「攻撃者」は具体的にどのような手口で攻撃をしかけてくるのでしょうか。
サイバー攻撃の具体的な手口~標的型攻撃による機密情報の流出
独立行政法人情報処理推進機構(IPA)が公開した以下の表は、2019年に発生したサイバー攻撃を影響度が大きいものからランキングしたものです。
順位 |
組織 |
昨年順位 |
1位 |
標的型攻撃による機密情報の窃取 |
1位 |
2位 |
内部不正による情報漏えい |
5位 |
3位 |
ビジネスメール詐欺による金銭被害 |
2位 |
4位 |
サプライチェーンの弱点を悪用した攻撃 |
4位 |
5位 |
ランサムウェアによる被害 |
3位 |
6位 |
予期せぬIT基盤の障害に伴う業務停止 |
16位 |
7位 |
不注意による情報漏えい(規則は遵守) |
10位 |
8位 |
インターネット上のサービスからの個人情報の窃取 |
7位 |
9位 |
IoT機器の不正利用 |
8位 |
10位 |
サービス妨害攻撃によるサービスの停止 |
6位 |
出典:情報処理推進機構「情報セキュリティ10大脅威 2020」
このうち最も影響の大きい「標的型攻撃による機密情報の窃取」について、少し詳しく解説します。
まず攻撃者は、標的とする企業の従業員に対して、有害な添付ファイルやウェブサイトへのリンクを記載したメールを送り付けます。従業員がうっかり添付ファイルを開いたり、ウェブサイトにアクセスしたりするとPCがウイルスに感染し、感染したことが攻撃者に通知されます。通知を受けた攻撃者は感染したPCを起点として、徐々に侵害の範囲を拡大しながら機密情報のあるサーバーにたどり着き、機密情報を窃取します。
近年の事例としては、2017年10月から2018年にかけてプラント関連事業者への連続攻撃が発生しています。また2019年には、6月に三菱電機、8月には国土交通省の保守業務の委託先であるケーネスが攻撃を受けました。さらに2020年に入っても、NEC、神戸製鋼、パスコなどが次々と攻撃を受け、不正アクセス被害が報告されています。
被害を受けた企業の1つである三菱電機では、2019年6月28日に社内の端末で不審な挙動を検知しました。その後の調査で、第三者による不正アクセスを受け、社内のデータが外部に送信されたことがわかりました。調査には半年近くの時間を要し、その結果がニュースリリースの形で公表されたのは2020年の1月20日です。三菱電機では調査に時間がかかった理由を「監視や検知をすり抜ける高度な手法であり、かつ一部の端末において、送信されたファイルを特定するためのログ(操作記録)が攻撃者によって消去されていたため」と説明しています。
この攻撃により、個人情報と企業機密が外部に流出した可能性があることがわかりました。1月20日の公表時点では、個人情報として採用応募者情報(1,987人分)、従業員情報(4,556人分)、グループ会社退職者情報(1,569人分)、また企業機密として、技術資料・営業資料などが流出したとしています(人数は想定される最大数)。なお同日時点では、本件に関わる被害や影響は確認されていません。
その後、2月7日に防衛省の「注意情報」が流出した可能性があることがわかりました。三菱電機では再調査を実施し、不正アクセスの概要、攻撃手法と対応の経緯、同社の検証プロセス、今後の取り組みなどをまとめたニュースリリースを2月12日に発行しました。
流出した情報に関する対応(関係者へのお詫びなど)や調査・報告に関わる人件費・時間などは、かなりの規模にのぼるものと考えられます。また、何よりも国家機密を流出したことによる三菱電機の信用失墜は大きいと言わざるを得ません。国家の防衛に関わる情報ですから、国民および政府に与えた不安も大きなものがあります。
一方、この事例で明らかになったのは、防衛関連の事業を手掛けるほどの大手企業でも不正侵入を未然に防ぐことは難しいという現実です。これにより多くの企業が自社のサイバーセキュリティに不安を感じ、抜本的な見直しを行うきっかけにもなっています。
サイバーセキュリティは技術・物理・人の3つの観点で考える
サイバーセキュリティを実践するためには、技術・物理・人の3つの観点で考える必要があります。
技術的対策:ウイルス対策ソフトの導入、不正侵入検知・防御サービスの採用、ウェブアプリケーション保護対策の実施(WAFの導入など)、専門家によるセキュリティ診断の実施、セキュリティ更新プログラムの実行、脆弱性を排除したソフトウェア開発への取り組みなど。
物理的対策:防犯カメラの設置、オフィスやデスクの施錠管理、入退室管理、生体認証システムの導入、耐震対策、火災対策など。
人的対策:セキュリティポリシーの策定、セキュリティ教育、端末機器の持ち帰り・持ち込みの制限、USBメモリなどの使用制限、事故発生時の連絡・報告体制の整備・徹底など。
企業によっては具体的な対策の検討方法(例えば、対策ソフトの選定方法)がわからないといった場合もあるかもしれませんが、これついては、IPAが4つのステップで構成されるサイバー攻撃対策のガイドラインを示しています。
(1) 自組織にとって守るべきものを明らかにする
(2) 自組織にとっての脅威を抽出する
(3) 対策の候補を洗い出す
(4) 実施する対策を選択する
さらに詳しく知りたい場合は「情報セキュリティ10大脅威 2020」に具体例が掲載されていますので、自社に近い業種・業態を参考に考えるとよいでしょう。
サイバー攻撃の被害は自らの組織だけでなく、取引先や顧客にも大きな影響を及ぼします。そうなれば自らの組織の社会的信用が失墜するだけでなく、訴訟に発展する可能性さえ出てきます。サイバーセキュリティ対策において、聖域はどこにも存在しません。自分は大丈夫といった考え方の組織ほど、実際に攻撃を受けると脆いものです。常日頃から最新の情報収集に努め、万全の対策を講じる意識が何よりも重要です。