こんにちは、よろず支援拠点コーディネータの内山です。今回は、情報セキュリティ対策の重要性についてお伝えしたいと思います。
下記は、情報セキュリティ10大脅威 2024(組織編)です。
出典:https://www.ipa.go.jp/security/10threats/10threats2024.html
情報セキュリティ10大脅威は、IPA(独立行政法人情報処理推進機構)が2006年から毎年発行している資料で、前年に発生したセキュリティ事故や攻撃の状況等から脅威候補を選出し、セキュリティ専門家等から構成される「10大脅威選考会」で投票によって決定されます。TOP10入りした脅威について、脅威の概要、被害事例、対策方法等を解説しています。あくまで投票によって決まっており、被害件数や被害金額によって順位が決まるものではありません。最近ニュースなどで被害が取り上げられることの多い「ランサムウェアによる被害」が1位となっていますが、順位に関わらず、自組織により強く関係する脅威から対策することが重要とされています。
情報セキュリティ対策の基本
10大脅威以外にも多数の脅威がありますが、「攻撃の糸口」は似通っており、基本的な対策の重要性は長年変わらないとされています。
【出典】独立行政法人情報処理推進機構、情報セキュリティ10大脅威2024「組織編」https://www.ipa.go.jp/security/10threats/10threats2024.html
さらに、昨今はクラウドサービスの利用も一般的になってきており、クラウドサービスを利用することを想定した+αの対策として、以下の3つが加わります。
【出典】独立行政法人情報処理推進機構、情報セキュリティ10大脅威2024「組織編」https://www.ipa.go.jp/security/10threats/10threats2024.html
10代脅威で1位となっていた「ランサムウェアによる被害」について、もう少し詳しく解説します。これは、PC等に保存されているファイルが暗号化され、使用不可にされ、復旧と引き換えに金銭を要求されるものです。さらに情報も窃取されて、それを公開すると脅迫される「二重の脅迫」といったケースも増えています。
暗号化するウイルス(ランサムウェア)に感染させる手口としては、脆弱性を悪用、不正アクセス、メールを悪用、Webサイトを悪用などです。
注意点として、ニュース等では、大企業でのランサムウェア被害が目立ちますが、決してランサムウェアによる攻撃は大企業に限ったことではなく、組織の規模や業種に関係なく行われるものであるという点です。
出典:「令和5年におけるサイバー空間をめぐる脅威の情勢等について」 (警察庁)(https://www.npa.go.jp/publications/statistics/cybersecurity/)
中小企業が狙われる理由としては次のようなものがあります。
セキュリティ対策の不十分さ:大企業に比べてセキュリティ対策が甘く、攻撃者にとって狙いやすい。
コスト意識の低さ:セキュリティ対策に対する投資が少なく、費用対効果が見えにくいと感じている。
サプライチェーンの弱点:大企業への攻撃が難しいため、その取引先である中小企業を狙う。
さらに最近では、サイバー犯罪に使用するサービスやツール等(ウイルスなど)の取引市場がネット上に存在し、専門知識がなくても容易にサイバー攻撃が可能になっています。(10位 犯罪のビジネス化(アンダーグラウンドサービス))
国内のランサムウェア被害事例
最近の国内におけるランサムウェア被害の事例をいくつか紹介します。
① 名古屋港統一ターミナルシステムのランサムウェア感染
- 2023年7月、名古屋港のターミナルシステムがランサムウェアに感染。
- リモート接続機器の脆弱性を悪用した不正アクセスが原因。
- 物理サーバーおよび仮想サーバーが暗号化され、約2日半業務停止。
② エムケイシステムのサービス提供停止
- 2023年6月、エムケイシステムのデータセンターがランサムウェアに感染。
- 社会保険労務士向けクラウドサービス「社労夢」が停止し、約3,400人のユーザーに影響。
③ ならコープのランサムウェア攻撃
- 2023年1月、ならコープがVPN経由でランサムウェア攻撃を受けた。
- 攻撃者が脆弱性を悪用し、内部情報を収集後、ランサムウェアを拡散。
- 11台のサーバーで約49万人の個人情報が暗号化されるも、バックアップでデータ復元が可能だった。
【出典】独立行政法人情報処理推進機構、情報セキュリティ10大脅威2024「組織編」https://www.ipa.go.jp/security/10threats/10threats2024.html
ランサムウェアへの対策としては、先ほど述べた情報セキュリティ対策の基本、+αの対策に加え、組織的には、対応体制の事前整備、従業員教育の徹底、適切なバックアップ運用(取得、保管、復旧訓練)といった予防に加え、被害を受けた後の対応(バックアップ復旧、復号ツール活用)などです。
情報セキュリティの脅威は年々増大しており、中小企業にとっても他人事ではありません。経済産業省でも、企業の規模や業種等に応じ、適切なセキュリティ対策レベルを評価し可視化する仕組の検討がされています(*)。今すぐにでも基本的な対策を始めることが重要です。栃木県よろず支援拠点では、情報セキュリティに関する相談に対応できるコーディネーターもいますので、ぜひお気軽にご相談ください。
*[出典: https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/008.html]