1.セキュリティの脅威とは？

企業で取り扱われるデータや情報システムは、組織にとっての重要な資産です。その資産に損失や影響を与える直接的な原因を「脅威」と呼びます。企業はリスクを避けるために、脅威が発生しうる状況や条件を想定し、予防策や対応策を講じなければいけません。セキュリティの脅威を大きく分けると、環境的脅威と人的脅威の二つに分類されます。環境的脅威とは、地震や家事、台風などの自然災害によって発生する脅威です。環境的脅威は、どれだけ慎重に対策をしてもゼロになることはありません。ただし、データをバックアップしたり、事前にシステム復旧の準備をしたりすることで、被害を抑えられます。

一方、人的脅威の原因は人間です。そのため、技術面や制度面から対策を行うことで防止できます。なお、人的脅威は意図的脅威と偶発的脅威に大別され、それぞれの脅威を想定した対策をしなければいけません。意図的脅威とは、不正侵入や改ざん、ウイルス、盗難など、悪意を持った行為による脅威のことです。偶発的脅威は操作ミスや紛失、情報漏えいなど人為的ミスによって発生する脅威のことです。

2.脅威と脆弱性の違い

情報資産を損なう原因は、脅威だけではありません。脆弱性にも注意を払わなければいけません。脆弱性とは簡単にいえば情報資産の弱点を意味します。たとえば、データの改ざんや盗難は人的脅威です。しかし、これらの脅威は組織の情報システムに侵入しなければ発生しません。情報システムへ侵入するには、セキュリティを突破する必要があります。簡単に侵入を許さないような強固なセキュリティであれば、データを盗まれたり改ざんされたりすることはないでしょう。

しかし、セキュリティに何らかの欠陥や弱点があると、情報システムへの侵入を許す原因となり、脅威が発生してしまいます。他にも、入退室管理が徹底されていない、情報資産を持ち出す際のルールに不備があるなどの要因も、人的驚異への脆弱性となる可能性があります。さらに、データを管理している建物の近くに河川があると、豪雨や台風の際に洪水が起きるリスクが高くなります。これは、環境的脅威への脆弱性といえます。

3.セキュリティの脅威

3-1.脅威1.標的型攻撃による被害

脅威に備えるには、まずは脅威の内容や手口、対策などを知っておかなければいけません。特定の組織や個人に対して損害を与えるために、機密情報や知的財産情報といった重要情報を盗むことを、標的型攻撃といいます。標的型攻撃の目的やプロセスはさまざまですが、攻撃者からデータファイルが添付されたメールが送られてくる手口が一般的です。添付ファイルを開いてしまうと、攻撃者により情報システムや内部ネットワークの盗聴が行われ、情報が窃取されてしまいます。

添付ファイルではなくリンクを開くと攻撃されるという手口も多いです。さらに、不正アクセスによりデータが削除されたり破壊されたりするケースもあります。標的型攻撃を防ぐには、まずセキュリティの体制を確立し、脆弱性をなくすことが重要です。万が一、攻撃に遭ったときにも適切な対処ができるよう、担当者の対応力向上を図りましょう。また、不審な添付ファイルやリンクは開かないよう注意を促すなど、徹底した従業員教育も必要です。

3-2.脅威2.ビジネスメール詐欺による被害

メールを悪用した脅威の1つに、ビジネスメール詐欺があります。ビジネスメール詐欺とは、企業の間でやりとりされるメールを盗聴し、請求や支払いのタイミングで取引先になりすましたメールを送る詐欺行為です。企業のメールアカウントを乗っ取ったり、類似したドメインを作ったりしてなりすますため、詐欺に遭っていることに気付きにくいという特徴があります。特に、企業の財務担当者が標的にされるケースが多く、被害に遭ったときの損失も大きいです。

本物のメールに見せかけるために過去のやりとりを貼りつけるなど、手口も巧妙化しているため、文面に注意を払うだけでは詐欺と分からない場合も多くなっています。ビジネスメール詐欺に遭わないためには、メール以外にも電話やチャットツールなどで事実確認をする仕組みを作るのが有効です。また、自社のメールアカウントが乗っ取られないよう、パスワード管理を徹底しましょう。電子署名を付与するなど、なりすましではないことが確実に分かる目印をつけるとより安心です。

3-3.脅威3.ランサムウェアによる被害

ランサムウェアも、サイバー犯罪の攻撃手法として注目を集めている手口の1つです。ランサムウェアとはコンピューターウイルスの一種で、メールやウェブサイトを通して感染します。感染したパソコンはロック状態になり、操作ができなくなってしまうのが特徴です。データファイルが暗号化され、使用できなくなるケースもあります。操作不能になったパソコンには、感染前の状態に戻すために金銭を支払うよう要求する画面が表示される、というのが主な手口です。ランサムウェアに感染すると、金銭を要求されるだけではなく、業務妨害などの被害に遭う可能性もあります。

ランサムウェアの被害を防ぐには、脆弱性を悪用されないよう、十分な対策をとる必要があります。セキュリティ体制を確立されるのはもちろん、メールやウェブサイトのリンクを安易にクリックしないよう、従業員に周知徹底する必要があります。ランサムウェアはメールの添付ファイルやリンクを開くことで感染するケースも多いです。また、アクセス権限を最小化することで、ランサムウェアの被害を最小限に抑えられます。

3-4.脅威4.サプライチェーンの弱点を悪用した攻撃

サプライチェーンとは、企業がサービスや製品を提供するために行う一連の流れのことです。たとえば、製造業なら商品の設計開発から資材調達、生産、物流を経て、販売に至ります。これらのプロセスは、必ずしも1つの企業や組織の中で完結するとは限りません。グループ企業や取引先、業務委託先など、さまざまな企業が関係することもあります。サプライチェーン攻撃とは、大企業に関連する中小企業を足掛かりに、サイバー攻撃をする手口のことです。業務委託先組織を攻撃され、預けていた個人情報が漏洩するなどの被害が実際に発生しています。

このように、サービスの利用者まで影響が及ぶと、関連する企業のイメージが失墜するのは避けられません。さらに、利用者への賠償も必要になります。そのため、自社だけではなく、委託先のセキュリティも、厳重に管理することが重要です。また、被害に遭ってしまった場合を考慮し、事前に委託先と賠償についての取り決めを行いましょう。

3-5.脅威5.内部不正による情報漏えい

セキュリティの脅威は必ずしも組織の外部からもたらされるとは限りません。企業や組織の内部にいる人間が犯行に及ぶケースもあります。内部不正は公表されないことも多く、組織の外部からは見えにくいのが特徴です。従業員だけではなく、元従業員による犯行も内部不正に含まれます。主な手口は、重要情報の持ち出しやアクセス権限の悪用などです。たった1回の漏えい事故でも、漏えいした件数が多かったり重要な情報が漏えいしてしまったりすると、組織の根幹を揺るがすような事態に発展しかねません。内部不正を防ぐためにも、セキュリティポリシーを策定し、従業員に周知徹底しましょう。徹底したコンプライアンス教育も必要です。さらに、管理体制を構築し、情報を簡単に社外へ持ち出せないようにしましょう。

3-6.脅威6.サービス妨害攻撃によるサービスの停止

企業の提供するサービスを妨害し、サービスの停止に追い込むのも脅威の1つです。企業のサーバーやネットワークに大量のデータを送りつけて、サービスの機能を停止させることをDoS攻撃と呼びます。複数の端末やボットネットを利用してデータを送信するのが、DDoS攻撃です。ボットネットから大量のリクエストを送信し、DNSサーバーで増幅したパケットを送り付けるリフレクター攻撃という手段もよく使われます。自社のウェブサービスのアクセス状況や脆弱性を把握していない企業や、サービスが停止した場合に備えて体制を整えていない企業は、DDoS攻撃によりサービスの提供に支障をきたし、機会損失につながるおそれがあります。DDoS攻撃に対応するには、ウェブサービスにアクセス制限を設けたり、非常時用のネットワークを準備したりなどの対策が有効です。

3-7.脅威7.インターネットサービスからの個人情報の窃取

SQLインジェクション攻撃によって、組織や企業の機密情報を窃取されるという被害も起きています。SQLインジェクション攻撃とは、ウェブサイトやウェブアプリケーション、ソフトウェアなどの脆弱性を悪用、個人情報を盗み取る手口のことです。企業や組織が独自に開発したシステムではなく、市販のソフトウェアやオープンソースの脆弱性が判明した場合、多くの企業や個人が同時に攻撃されてしまう場合もあります。特に、OSやミドルウェアなどのサーバーソフトウェアの脆弱性を突かれた場合、サーバーに保存されている重要情報を盗まれるおそれがあり、非常に危険です。被害を防ぐには、脆弱性が判明した時点ですみやかにセキュリティ体制を構築しなければいけません。定期的にセキュリティ診断を実施し、日頃から脆弱性を把握するよう努めることも大切です。

3-8.脅威8.IoT機器の脆弱性の顕在化

インターネットにつながっているのは、パソコンやスマートフォンなどの情報端末だけではありません。 IT技術の進歩とともに、家電や医療機器、監視カメラなど、あらゆる機器がインターネットにつながるようになりました。このように、インターネットに接続する機能を持った機器を、IoT機器と呼びます。しかし、IoT機器の普及とともに、IoT機器の脆弱性を突いたサイバー攻撃も増えつつあるのです。たとえば、不正操作によりIoT機器の設定が勝手に変更されてしまうと、業務に影響が出てしまうでしょう。さらに、IoT機器が1つでもウイルスに感染してしまうと、ネットワークに接続している全ての機器に感染が拡大するおそれもあるのです。

被害を防ぐには、脆弱性を悪用される前に、セキュリティパッチを迅速に更新することが重要です。さらに、不正操作ができないよう、アクセス制限などの対処も必要です。いち早く脆弱性に気付くためにも、日頃から情報リテラシーの向上に努めましょう。

3-9.脅威9.脆弱性対策情報の公開に伴う悪用増加

基本的に、ソフトウェアやアプリケーションに脆弱性が見つかった場合、すみやかにアナウンスが行われます。しかし、公知した結果、ユーザーだけではなく悪意を持った攻撃者にも脆弱性が知られてしまうでしょう。すると、脆弱性を狙った攻撃により、情報漏えいやデータの改ざん、ウイルス感染などの被害が大きくなってしまうのです。広く使われているソフトウェアほど、被害が大きくなるリスクは高いです。脆弱性が見つかったら、すぐにパッチをインストールするとともに、セキュリティ体制の見直しなどの対策をとりましょう。状況によっては、通信の遮断やサーバーの停止といった対応も必要です。

3-10.脅威10.不注意による情報漏えい

どれだけ外部からの脅威に注意を払っても、内部の人間のミスや不注意によって脅威が発生してしまうリスクは避けられません。実際に、従業員の不注意から機密情報が漏えいしてしまったり、重要なデータを謝って消去してしまったりといったケースが発生しています。端末やUSBメモリを社外へ持ち出した場合、紛失や置き忘れ、盗難被害などのトラブルが発生する可能性もあるでしょう。メールの誤操作によって、個人情報や機密情報を含むメールが関係者以外の第三者に送信されてしまうといったミスも後を絶ちません。ヒューマンエラーによる情報流出だけではなく、内部の人間が悪意を持って情報を漏えいさせる場合もあります。

漏えいした情報が悪用された結果、二次被害が発生しまう場合もあるので、慎重に対策をしなければいけません。まず、従業員1人1人にセキュリティ意識を持たせるための教育を徹底しましょう。情報を暗号化し、漏えいした場合も簡単に内容が分からないようにすることも重要です。さらに、利用端末を制限することで、情報漏えいを効果的に防止できます。

4.会社を脅威から守れる体制づくりを！

セキュリティの脅威から情報を守るためには、どのような脅威が存在するのかを知ることが重要です。脅威の内容を知らなければ、適切な対策を実施することもできません。大切な情報資産を守るためにも、常日頃から脅威に遭うリスクと防止策を意識しましょう。