株式会社ナレツジベースの杉山です。
今回は組織編です。
まずは、組織に対する攻撃についてです。
1位「ランサムウェアによる被害」
2位「標的型攻撃による機密情報の窃取」
3位「サプライチェーンの弱点を悪用した攻撃」
4位「テレワーク等のニューノーマルな働き方を狙った攻撃」
8位「ビジネスメール詐欺による金銭被害」
前年度同様にランサムウェアによる、データの暗号化と身代金の要求が一位です。
さらに身代金を支払ってもデータを公開されてしまうような事件も発生しており、ビジネスデータの保護とバックアップが重要になっています。
標的型メールでランサムウェアをインストールさせたり、ターゲット企業への侵入経路としてサプライチェーン上でセキュリテイが脆弱な企業などを狙った攻撃も上位にあります。
また、コロナ過で一気に普及したテレワークですが、これを狙った攻撃も組織の大きなリスクとなっています。
家庭内のネットワーク機器や個人のスマートフォンまで、組織のセイキュリティをリスクとして管理するべき時代になっています。
次は組織で利用しているアプリケーションやオペレーティングシステムなどの脆弱性を狙った攻撃です。
6位「脆弱性対策情報の公開に伴う悪用増加」
7位「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」
最新のパッチ適用を適宜実施する必要があるのですが、パッチを適用したことでソフトウェアの動作が変わってしまい、業務で使用しているアプリケーションが動作しなくなったなどと言う問題が発生することがあります。
事前にパッチ適用で発生する不具合などの確認作業の頻繁が上がると、システム部門や担当者の作業量が増大することになり、メンテナンスで手一杯で新たなサービスの提供ができない状態になっていしまいます。
また、ゼロデイ攻撃に至ってはパッチの提供さえ間に合わないため、攻撃を受けて侵入されることも想定した対策を用意しておくことが必要になります。
さらに、下記のような問題があります。
9位「予期せぬIT基盤の障害に伴う業務停止」
オンプレミスでも発生しますが、クラウドサービスでも発生します。
利用しているクラウドサービス自体の障害もありますが、クラウドサービスが内部で他のクラウドサービスを利用している場合、利用しているクラウドサービスの障害が波及し、サービスが提供できない事故が発生した事例もあります。
これについては、ISMAP(政府情報システムのためのセキュリティ評価制度)などを確認して、自分の組織がどのようなリスクを負っているのか確認しておくのも良いかと思います。
そして、最終的に「人」が大事になってきます。
下記の2項目です。
5位「内部不正による情報漏えい」
10位「不注意による情報漏えい等の被害」
外部的な要因で発生するセキュリテイの事故に比べ、内部で発生する事故の割合がとても高いです。
特に10位の不注意でメールを誤送信したり、BCCとすべきところをCCで送信するなどの事例は、現在でも頻繁に発生しています。
組織でのセキュリティの教育は、抑止するための対策ともに重要になっています。
専門外なので、すべてを組織で対策することが難しいのが実際ですが、インターネットを利用することが当たり前の時代ですので、見ないふりはできないですね。
セキュリティに関するサービスなどをうまく利用して、しっかりとビジネスを進めていくようにしたいものです。
