企業活動においてコンピューターやシステムの利用は当たり前となり、インターネットが、水やガスと同じ様にインフラの一つとして欠かせない時代になりました。
今やITの利活用やDXは中小企業においても成長要因の重要なテーマです。また、ここ数年で新型コロナウィルス対応の一環として、クラウド化やテレワーク等、業務のデジタル化を急速に進めた事により、企業のIT環境は大きく変化しました。
それと同時並行で増大しているのが、情報セキュリティに関する脅威です。特に企業が保有する個人情報や技術情報を狙う、悪意のある外部からの攻撃(サイバー攻撃)が増えてます。
上記図の通り、サイバー攻撃は急増しており、2020年から一旦は減少している様に見えますが、2023年には大台の6000億回となりました。
この様なサイバー攻撃は他人事ではありません。みなさんが普段利用しているメールからもサイバー攻撃を受ける事があります。
ウィルスを仕込んだメールを不特定多数に送付し、感染したパソコンからメールアドレスやメール本文を盗み出す「ばらまき型攻撃」や、ばらまき型攻撃で盗み出した情報から返信メールに偽装し添付ファイルを開かせて感染させる「返信型攻撃」。
この様なサイバー攻撃も中小企業で流行を繰り返しています。(メールの添付ファイルを介して感染を広げていく手口はEmotet(エモテット)と呼ばれます)
サイバー攻撃は世界中どこからでも行われるので、日本でもこうした被害が今後更に増える可能性は高く、個人も法人も警戒が必要です。
弊社でも、先日社員宛になりすましメールが送られました。幸いセキュリティソフトが作動したため事なきを得ましたが、一歩間違えれば大変なことになっていました。
サイバー攻撃の脅威は色々ありますが、IPA(独立行政法人情報処理推進機構)が前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、今年の情報セキュリティ10大脅威について「個人向け」と「組織向け」を発表しております。
以下は2024年の「組織向け」情報セキュリティ10大脅威ランキングとなります。
様々な脅威やリスクがありますが、一体どの脅威から対策を取ればよいのでしょうか?
もちろん順位が高い方がリスクも高いと言えるので、順位が高い順番に対策をするのが望ましいですが、大切なのは全ての脅威に共通する「基本的な対策」です。
特に予算や人が限られている中小企業は、まずは基本的な対策を行い、その後に様々な脅威に個別対応するのが望ましいです。(但し、個別の脅威で既に実害やリスクが顕在化しているのであれば、個別脅威の対策を優先するべき)
今回は実際にサイバー攻撃から身を守るために必要な、基本的な対策などをご紹介します。
ご自宅のネットワークやパソコンは狙われない。と思っているのであれば注意が必要です。実際に個人が被害にあうケースも出てきております。
また、働き方改革や新型コロナの流行により、テレワークや在宅勤務が浸透しており、サイバー攻撃を仕掛ける犯罪者は、強固な企業を狙うよりも、セキュリティが甘い個人を狙っております。
もちろん在宅勤務がなく、ご自宅で仕事をしていなくても、しっかりと基本的な対策をする必要があります。
法人(会社)の環境についても注意する点は同じなので、以下は必ずチェックしてください。【あくまでも基本的な環境の基本的な対策となります】
(1) パソコンのOSや利用しているソフトウェアを最新に保つ
WindowsやMacのOS(オペレーティングシステム)を最新の状態に保ちましょう。WindowsであればWindowsUpdateの自動更新を設定しておくのがオススメです。(なおWindows7はサポートが切れております、Windows8も2023年1月には延長サポートが終了するので、Windows10への移行をオススメします)
また、利用しているブラウザやその他ソフトウェアも最新版にしてください。特に「インターネットエクスプローラー(IE)」のブラウザはセキュリティが低いため、今もIEを利用している場合は、新しいブラウザ(edgeやChrome)を利用する様にしましょう。
(2) ウィルス対策ソフトの導入とパターンファイル最新化
パソコンにウィルス対策ソフトは入ってますか?Windows10であれば標準で搭載されているWindows Defenderが有効になっているか確認してください。有料のウィルス対策ソフトを導入している場合はライセンス期限が切れていないか?の確認をしましょう。また、パターンファイルが更新されているかの確認も重要です。
(3) ルーター等のIDとPWを確認する
ルーターとは、パソコンやテレビ、スマホ等のデジタル機器を、1つの回線でインターネットへ接続するための機器です。ご自宅でインターネットの環境がある場合は必ずルーターがあります。(無線Wi-fiルーター等とも呼ばれて、無線LANを利用する際にも必要です)
このルーターですが、古いルーターだと管理画面へのログインIDとPWの初期設定が簡易的な設定になっている事があります、またはルーター設置した人(業者や本人)が簡易的または予測可能なIDとPWにしている場合もあります。
ルーターの初期設定を確認して簡易的または予測可能なIDとPWの場合は必ず変更しましょう。
※ルーターだけではなく、ペット用のお守りカメラなどのWebカメラが接続されている場合も、初期IDとPWの変更を行いましょう。
(4) ルーター等のソフトウェア(ファームウェア)を最新版にする
ルーターにもルーター自体の機器を制御するソフトウェア(ファームウェア)が入っております。そのファームウェアが古いままだとセキュリティに問題がある可能性ありです。ルーターのメーカーや型番を確認してファームウェアの更新を行いましょう!
(5) サポート切れのルーターは買い替えを検討する。
そもそも機器自体が古いとサポートが切れて、ファームウェアの更新が行われていない場合もあります。その場合は出来る限り最新版に買い替えをしましょう。買い替えのサイクルとしては購入日から(機器の発売日によって前後することもあるが)6年以上のルーターは買い替えの検討をオススメします。
ルーターはセキュリティの問題もありますが、機器自体の不調やネットワーク規格(特に無線Wi-Fi)が変わる事があるため、ルーターを買い換える事でインターネット速度が上がる副次的な効果も期待できます。
法人の基本的な対策ですが、上記画像のとおりです。上述した【個人・法人共通】の基本的な対策と重なる部分も多いですが、法人で一番ポイントとなるのは「最新情報収集と、従業員へのセキュリティ教育」です。
法人は常に最新情報に触れて従業員にフィードバックする事や、定期的なセキュリティ教育が重要です。
法人の基本的な対策については、IPAの「中小企業の情報セキュリティ対策ガイドライン」にある「情報セキュリティ5か条」に詳細が載っているので、そちらもご確認ください。
情報セキュリティ5か条 – IPA
https://www.ipa.go.jp/files/000055516.pdf
これらの基本的な対策が不足している場合は、すぐに実施しましょう。すべて「無料」で対応が出来ます。
しかし法人は「基本的な対策」だけでは足りません。自社の環境や予算によってサイバーセキュリティ対策を実施する必要があります。
例えば技術的な対策として、有料ウィルス対策ソフトの導入、UTM(統合脅威管理)の導入、システムの冗長化、MDM(モバイルデバイス管理)の導入など様々なサイバーセキュリティ対策があります。
これらはいずれも対策として有効ですが、大きな費用(コスト)が掛かります。
技術的なサイバーセキュリティ対策を行うには対策費(コスト)をどのぐらい掛ければ良いのか?とても難しい問題です。
自社の状況・予算・システム規模によって検討を進める必要がありますが、 「被害想定額」を上回る「セキュリティ対策費」の投資は現実的ではありません。
また、これだけITが普及し利用している現代では完全無欠なセキュリティ対策は不可能に近いです。どれだけ万全を尽くしてもリスクは残ってしまいます。
そこで重要なのがリスクマネジメントやリスクコントロールです。サイバーセキュリティに関するリスクを技術的な対策でどこまで減らして、どこまで許容するのか?です。
一番問題となるのは「リスク頻度は低いが、コストが高すぎて対策が出来ない」「そのリスクを許容出来ない」場合の【移転】部分です。そこで役に立つのがサイバー保険なのです。
サイバー保険はサイバーリスクに起因して発生する様々な損害に対応するための保険です。主な補償内容は3つになります。(サイバー保険は法人・個人事業主のみご加入可能です)
IT業務や自社コンピューターシステムの所有・使用・管理等に起因して発生した不測の事由による他人の損失や個人情報漏洩等について、法律上の損害賠償責任を負担することにより被る損害を補償します。
情報漏えいやサイバー攻撃に起因して一定期間内の生じたサイバー攻撃対応費用・再発防止費用や訴訟対応費用を被保険者が負担することによって被る損害を補償します。
不測かつ突発的なコンピューターシステムの操作、データ処理の過誤等またはサイバー攻撃に起因して、所有使用するコンピューターシステムが機能停止することによって生じた利益損失、営業継続費用を補償します。
以上となります。 まとめますと「個人情報漏洩」「サイバー攻撃」などが原因となる「第三者への賠償」「事故対応の諸費用」「休業時の費用補償」が補償対象になります。
仮にサイバー攻撃が発生した場合に、どの様な流れで、どの様な対応が補償されるのかを表したのが以下の図となります。
サイバーセキュリティに対する意識は日増しに高まっております。サイバー攻撃は自然災害などの対策と同様に脅威を認識しリスクコントロールする必要があります。
自然災害に備えるために加入する「火災保険」「地震保険」と同様に、サイバー攻撃に備えて加入する「サイバー保険」も将来的には一般的な考え方になるかもしれません。(経済産業省はサイバー攻撃の対策手段の1つとしてサイバー保険への加入検討を推奨しております。)
サイバー経営ガイドライン – 経済産業省
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf
サイバー保険の保険料はセキュリティ対策の状況に応じた割引割増制度があります。
自社のセキュリティ対策が脆弱だと高くなりますし、逆にしっかりと対策をしていると最大で60%も割引になるケースがあります。
実際に被害を受けた時に、費用面での負担が多くなるのが事故対応費用です。
調査やデータ復旧、コールセンター設置などいくらくらい必要かを想定して保険金額を設定する必要があります。実は高額なのが調査費用です。例えばですが、一般的にサイバー攻撃を受けた場合の調査費用はPC1台について約100万円かかるとも言われています。
サイバー攻撃を受けると同じネットワークの機器も攻撃を受けますので、PC等の機器の台数や攻撃の規模によっては調査費用だけで数千万円かかるケースもあります。
サイバー保険には補償だけでなく、ご加入者の方が利用できる付帯サービスが有ります。
緊急時のトラブル対応やリスク診断サービス、情報提供などがあります。特に緊急時の対応については、セキュリティの専門部署が無いような中小企業にとっては非常に重要です。
この付帯サービスについても各社異なる点がございますので、比較検討することをおすすめします。
サイバー保険を取り扱う保険会社は多数ありますが、補償内容や付帯サービスについても異なる点があるので、比較検討する事が重要です。
サイバー保険に関わらず保険はお客様の環境や状況にマッチした商品を選択する事が大切です。
弊社は、様々な業種の法人にサイバー保険のご提案をしていることや、実際にサイバー攻撃を受けたお客様の事故対応なども行っており、ノウハウや経験があります。
サイバー保険をご検討しているお客様は以下の「サイバー保険専用問い合わせフォーム」や「セフティー公式LINE」などでお気軽にご相談下さい。お客様にマッチしたサイバー保険をご提案させて頂きます。
サイバー保険専用の特設サイトも設置して中小企業向けのサポートを重点的に実施。サイバー保険の考え方や補償や内容について簡単に説明しております。
弊社では、サイバーセキュリティに関するセミナーも実施しております。このセミナーはサイバー保険の説明だけではなく、セキュリティの基本的な考え方や対策などの説明もしております。
ご相談があれば個別セミナーの実施も可能です。こちらもご相談ください。
2022年10月31日には阪急性期・総合医療センターがサイバー攻撃を受け、電子カルテや会計システムなどの基幹系システムが停止。復旧するために金銭を要求するランサムウェア(身代金要求型ウィルス)の被害にあいました。
この病院が受けたサイバー攻撃のウィルス感染経路を調査した結果、給食委託事業者のサーバーから侵入された可能性が高い事が判明しました。どうやら、委託事業者側のネットワーク機器について、更新プログラムが適切に更新されておらず、放置された脆弱性を悪用した攻撃だったそうです。
大阪急性期・総合医療センターがランサムウエア被害の報告書公開、実態を読み解く | 日経クロステック
トヨタ自動車のサプライチェーンとなる「小島プレス工業」がマルウエア被害を受けて、トヨタの工場ストップ。サプライチェーン攻撃のリスクが浮き彫りに。
トヨタの工場を止めたサイバー攻撃 サプライチェーン攻撃のリスクが露呈 | 日経クロステック
このトヨタの被害を受けて、サイバーセキュリティ強化について、関係7省庁(経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁)から改めて注意喚起がされました。
サイバーセキュリティ対策の強化について(注意喚起)
https://www.meti.go.jp/press/2021/03/20220301007/20220301007-1.pdf
2024年5月10日、JR東日本へのサイバー攻撃により交通系ICサービスのモバイルSuicaが繋がりにくくなる障害が発生。Suicaにチャージが出来ない、ネットで新幹線チケットが取れないなど日常生活にも影響が出ました。
日本へのDDoS攻撃件数は1年で15倍近くに、モバイルSuicaで5月に障害発生 | 日経クロステック
東京都が都内の中小企業におけるサイバーセキュリティ人材育成とセキュリティ課題解決を支援や、セキュリティ対策に関する体制強化のサポートをする支援事業を開始しました。
中小企業のレベルに合わせて4段階の支援を展開しておりますが、2024年5月30日からレベル1「啓発事業」、レベル2「基本対策事業」。2024年5月23日からレベル3「社内体制整備」、レベル4「特別支援事業」の参加企業を募集開始しました。
多くの中小企業はレベル1「啓蒙事業」の内容がマッチするかと存じます。ぜひ参加をご検討ください。
令和6年度中小企業サイバーセキュリティ啓発事業 | 東京都産業労働局
2024年6月8日にサイバー攻撃による大規模障害発生。KADOKAWAグループ内の複数サーバーにアクセスが出来ない障害が発生しました。特に子会社のドワンゴが運営する「ニコニコ動画」はサービス停止まで追い込まれて、システムを1から作り直す状況で復旧の目処が立っていない状態(2024-07-11現在)
2024年6月11日に岡山県精神科医療センターはランサムウェア(身代金要求型ウイルス)によるサイバー攻撃を受けて電子カルテが利用できなくなる障害が発生し、最大4万人分の患者情報(個人情報)が流出した可能性がある事を発表しました。
医療機関へのサイバー攻撃は社会的影響が大きいため特に注意が必要です。厚生労働省では2024年6月6日に医療機関向けの「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表」を公開しております。
医療情報システムの安全管理に関するガイドライン第6.0版 | 厚生労働省
※BCP部分が令和6年6月の最新版に更新されております。
サイバー攻撃は事前の対策で「守る」ことも重要ですが、サイバー攻撃を受けた際にどの様に普及するのか?を事前に対策する「備える」ことも重要です。また、サイバー攻撃に備える1手段としてサイバー保険があります。
2024年7月10日に東京海上グループ3社で約6.3万件の情報が漏えいした可能性がある事を発表しました。これは各グループが業務を委託している高野総合会計事務所がランサムウェアに感染して、委託先から情報漏洩したのが原因です。
この様に大手の企業に直接サイバー攻撃をするのではなく、委託先会社やサプライチェーンにサイバー攻撃を行い、そこから大手企業にある情報を盗み出す手口が多くなってきております。
2024年7月17日に東京ガスの子会社「東京ガスエンジニアリングソリューションズ(TGES)」が、不正アクセスを受けて個人情報が漏えいした可能性がある事を発表しました。
約416万人分の氏名や住所、連絡先などが漏洩した様ですが、クレジットカード番号や口座情報などは含まれてないそうです。
不正アクセスの侵入経路はVPN(インターネットを使用した仮想専用線)経由だそうです。
中小企業においてもネットワーク機器のファームウェアアップデート、設定内容の再確認を行い対策をしましょう。
2024年7月12日に損害保険ジャパンの代理店(トータル保険サービス)が、損害保険ジャパン以外(競合他社)の契約者情報を、損害保険ジャパンに漏洩した事を発表しました。
これは、代理店に出向している損害保険ジャパンの社員が、出向元である損害保険ジャパンに契約者情報を不正に持ち出した(またはメールなどで送信した)ことが原因です。
発表時点で約2700件の情報が漏洩した事を確認したそうですが、今後も膨らむ可能性があります。
内部不正については、利用するシステムに適切な権限設定を行う事や、個人情報の持ち出し制限や記録の徹底、アクセスログや操作ログの取得などがあります。
また、一番コストが低くスピーディーに出来る対応は『社員教育』です。個人情報の取り扱いや社内規定やルールについて随時教育を行う事が大切です。
2024年8月8日に第一生命の代理店(保険クリニック)が、第一生命グループのネオファースト生命保険に約72,000件もの契約者情報が漏洩していた事を発表しました。
これは、先月発生した損保ジャパンの情報漏洩とまったく同じ構図で、代理店に出向している第一生命の社員がネオファースト生命保険へお客様情報を漏洩していた形です。
2024年10月3日にコーヒーチェーン店のタリーズが、オンラインストアへの第三者による不正アクセスにおいて、お客様の個人情報(92,685件)、内クレジットカード情報(52,985件)が漏えいした可能性があると発表しました。
https://www.tullys.co.jp/information/2024/10/post-14.html
※2024年5月20日の漏洩懸念が発覚した後の第三者調査で詳細が判明し発表
クレジットカード情報では「セキュリティコード」も漏洩しており、悪用されているとなると大きな被害につながる事故です。
今回の事象はクレジットカード情報を保存していたサーバーやデータベースに不正アクセスされて漏洩したのではなく、ペイメントアプリケーションの改ざん(Webスキミング)による被害となります。
