企業が警戒すべきセキュリティ脅威について徹底解説

2023年11月28日 www.soliton.co.jp より移設

ここ20年ほど、国内の企業や組織がサイバー攻撃を受けたり、情報漏えいが起こったりといったニュースが報じられなかった年はありません。今も企業はさまざまなセキュリティ脅威にさらされており、その種類は多様化し続けています。そんな中で現在、企業が警戒すべきなのはどのような脅威なのか、最新のセキュリティ脅威について解説します。

企業におけるセキュリティ脅威の現状とは

企業におけるセキュリティ脅威は、「外部からの脅威」と「内部における脅威」の大きく2種類に分けられます。

外部からの脅威としてよく知られているのが、ネットワークを介して企業のサーバーやPCなどのコンピュータシステムに不正にアクセスし、重要情報の窃取・改ざん、システムの破壊活動などを行うサイバー攻撃です。サイバー攻撃は増加の一途をたどっており、攻撃に使用されるマルウェア（悪意あるソフトウエア）の数・種類も増え続けています。

一方、内部におけるセキュリティ脅威には内部不正やヒューマンエラーがあります。内部者による重要情報の持ち出しなどの行為は、その事実が企業によって隠される傾向が強いとも言われます。そのため件数が増加していても実態がつかみにくいという問題もはらんでいます。

加えて、2020年はコロナウイルス感染症拡大によってリモートワークを導入する企業が急増した年でもありました。これによりビジネスで使用する端末、ソフトウェアに対するガバナンスが効きづらくなるという状況が生じました。リモートワークの急激な増加は、外部からの脅威、内部における脅威のいずれにも大きな影響を及ぼしています。

企業は「情報セキュリティ10大脅威」組織編に目を通しておこう

独立行政法人情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威」をご存知でしょうか。その年に発生した事案に基づいて、とくに注目しておくべき10の脅威をIPAと選考会が選出して発表するものです。

「情報セキュリティ10大脅威 2020」組織編は以下のとおりです。

1位　標的型攻撃による機密情報の窃取
2位　内部不正による情報漏えい
3位　ビジネスメール詐欺による金銭被害
4位　サプライチェーンの弱点を悪用した攻撃
5位　ランサムウェアによる被害
6位　予期せぬIT基盤の障害に伴う業務停止
7位　不注意による情報漏えい（規則は遵守）
8位　インターネット上のサービスからの個人情報の窃取
9位　IoT機器の不正利用
10位 サービス妨害攻撃によるサービスの停止

この結果を踏まえ、内容も参照しつつ、ここからは企業が警戒すべきセキュリティ脅威について述べていきます。

外部からのセキュリティ脅威

外部からのセキュリティ脅威としてとくに警戒したいのは次の3つです。

脆弱性を突いた攻撃

OSやアプリケーションの脆弱性、つまりプログラムの不具合や設計上のミスによって生じたセキュリティ上の弱点を突いた攻撃は、コンピュータの利用が一般化しインターネットが普及し始めた頃から存在していました。

現在でも脆弱性の問題は常に存在します。プログラミングもソフトウェア設計も人間が行うものであり、ミスを完全になくすのはほぼ不可能です。脆弱性が見つかると修正のためのセキュリティパッチが配布されますが、危険性が0になることはないと考えておくべきですし、脆弱性の発見から配布までの期間に行われる「ゼロデイ攻撃」と呼ばれるサイバー攻撃も存在します。

コロナ禍でリモートワークが広く導入されてからは、ビデオ会議やグループチャットなどのツール、社外から社内システムにセキュアにアクセスするためのVPNにも脆弱性が見つかっています。

標的型攻撃

特定の企業や組織を対象にした標的型攻撃は年々巧妙化しています。攻撃者の最終的な目的は機密情報の窃取や事業活動の妨害です。

標的型攻撃は、標的とされた企業の担当者が開封しそうなメール、頻繁にアクセスしているWebサイト、クラウドサービスやWebサーバーなどを巧みに利用してマルウェアに感染させます。端末への感染に成功するとそれを起点として企業内ネットワークやサーバーに入り込み、機密情報などにたどり着こうとします。

2020年初頭には、防衛省に関連した複数企業が、標的型攻撃に起因すると思われる第三者からの不正アクセスを受ける事件が起きています。

ビジネスメール詐欺

ビジネスメール詐欺とは、自社や関連会社の役員、取引先の人間などになりすまして偽装メールを送り、企業の経理・財務部門の担当者に入金を促して金銭をだまし取る行為です。数年前から海外で多大な被害が報告されており、国内でも同様の事案が発生しています。

攻撃者は犯罪グループが多く、事前に標的とする担当者のメールのやりとりを傍受するなどしてプランを練り、周到な準備をしてメールを送りつけてきます。受け取った側は本物の経営層などから指示を受けたと思い込み、金銭を振り込んでしまいます。古典的な詐欺の手口なのですが、2019年には日本のある企業が欧州で最大40億円もの被害を受けています。

内部におけるセキュリティ脅威

内部におけるセキュリティでは、内部不正とヒューマンエラーについて理解を深めておくべきです。

内部不正

企業や組織の従業員や元従業員が機密情報を持ち出したり悪用したりする内部不正が続発しています。

2019年には神奈川県庁のサーバーに搭載されていたハードディスクドライブがインターネットオークションで転売されるという事件が起こりました。落札者がデータ復旧ソフトを使って確認すると、HDD内に行政文書が残されていて内部不正が発覚しました。転売を行ったのはデータ消去会社の作業担当者で、それ以前にも物理的破壊前のHDDを盗み出しては転売を繰り返していました。

内部不正は組織に対する私怨や金銭目的を動機として行われることが多いとされます。現在はリモートワークの普及に伴い、従業員が端末やデータを自宅で管理する機会が増えたことでリスクが増大しています。

ヒューマンエラー

内部不正は内部者の故意によるセキュリティ脅威ですが、ヒューマンエラーは故意ではないセキュリティ脅威です。メールの誤送信や端末の紛失などの単純なミスのほか、怠慢やセキュリティに対する意識の低さから生じる脅威もあります。

上記のHDD転売事件でも、作業担当者による故意の行為だけではなく、データ消去会社のHDDと従業員に対する管理不備、神奈川県庁の重要情報に対する扱いのずさんさ、データ完全消去に対する認識の甘さなどにも問題があったことが指摘されています。

企業に必要なセキュリティ脅威への対策は？

企業にまず求められるのは、基本的なセキュリティ対策を徹底して行うこと、そのために社内意識の向上を図ることです。ソフトウェアを常にアップデートしておく、最新のセキュリティ対策ソフトや技術を積極的に導入する、重要情報は暗号化する、不審メールの見分け方を学ぶ、など実効性の高い対策をしっかりと実行すべきです。従業員へのセキュリティに関する教育や研修を定期的に実施することも重要です。

また、ITシステムのクラウド化が急速に進む中にあっては、全てのトラフィックを信頼しないとするセキュリティ対策の考え方、概念である「ゼロトラスト」を踏まえることも必要となってくるでしょう。例えば当社ソリトンの次世代認証サービス「Soliton OneGate」は、クラウドと社内にまたがる業務システムのIDと認証を統合し、クラウドシフトにおける運用とセキュリティ課題を解決する、ゼロトラストを踏まえたサービスとなっています。

詳しくはこちらをご覧ください
ゼロトラストを実現する次世代認証サービス | Soliton OneGate

こうした対策や教育は、専門知識とスキルを持つセキュリティ担当者の主導で計画的に行っていくことも必要です。企業の情報セキュリティ人材は明らかに不足していると言われており、優秀な人材の育成もまた企業の大きな課題となっています。

重要情報をターゲットとした攻撃は大企業だけではなく、中小企業に対しても向けられています。今、企業がどのようなセキュリティ脅威にさらされているのかを正しく認識し、十分な対策をしていきましょう。