高まる標的型サイバー攻撃のリスク。企業に億単位の財政損失も


特定の企業や公共機関を狙った標的型攻撃とよばれるサイバー攻撃が脅威を増しています。

もしも自社がサイバー攻撃の標的にされて顧客情報の流出やサーバー障害を引き起こせば、復旧や信頼の回復に膨大な時間と労力を強いられるのはもちろんのこと、経営基盤そのものを揺るがす重大な影響をもたらしかねません。

これまで以上に経営者もサイバー攻撃についての理解を深め、経営戦略を立てる際にもサイバー攻撃へのリスクを重要な位置づけとして捉えていくことが求められます。

増加の一途をたどる標的型の不正アクセスやDDoS攻撃

標的型サイバー攻撃は年々、増加しています。「2014年度情報セキュリティ事象被害状況調査」によると、有効回答のあった企業2000社のうち19.3%がサイバー攻撃に遭遇していることがわかりました。2013年度の同調査のときは13.8%で、前年度よりも5.5ポイントも増加しているのです。
2015年も標的型サイバー攻撃により企業や公共機関が被害を受けたニュースはたびたび報じられました。
中でも、以下2つの原因によるものが目立っています。

1.人為的ミスや管理体制の不備がきっかけで不正アクセスを許してしまう場合

2.DDoS攻撃のような大量のデータをサーバーに送りつけてサーバーの機能を停止させる場合

どちらも自社で起きれば事業運営に損失をもたらすだけに、注視していかなければなりません。

人為的ミスや情報管理体制の不備が数億円規模の損失に発展

最近の大規模なセキュリティ事故を起こす原因となっているのが、重要な情報を運用するための従業員の意識不足や管理体制の不備です。数万人あるいはそれ以上の個人情報を扱う企業や公的機関が、こうした不備で大規模な情報流出事故を引き起こす事態が相次ぐようになりました。

個人情報の流出を引き起こす発端として多いのが、送られてきたメールに添付されているファイルを不用意に開封するなどの人為的なミスです。その結果、コンピュータウイルスや外部へのサーバーに自動接続させる悪意のあるソフトウェア(マルウェア)が端末に感染・常駐し、重要な情報が流出してしまう事故に発展しています。さらに、顧客からのメールなど外部とのやり取りに使う端末とデータベースにアクセスする端末を兼用していると、情報が外部に流出する確率は高くなります。

一方、社内での情報管理の取り決めや運用に不備があり、委託業者の従業員が顧客情報を根こそぎ盗み出すケースも発生しています。このような場合の情報流出は規模が大きく、しかも名簿業者などに転売されれば二次被害は広がるばかりです。

人為的なミスや社内管理体制の不備による外部への情報流出事故による財政損失は計り知れません。試算によれば、125万件の情報流出があった場合の平均損失額は1.5〜2億円に及ぶとされています。これに加えて、セキュリティ対策や顧客への賠償といった費用を含めれば、その何倍から何十倍もの費用を計上しなければならないでしょう。

長期間のシステム停止も起こりうる最近のDDoS攻撃

多発が顕著なもうひとつの標的型サイバー攻撃が、大量のデータを送りつけてサーバーを機能不全にさせるDDoS攻撃です。古くからサイバー攻撃の常套(とう)手段として用いられているDDoS攻撃も年々増加傾向にあります。情報セキュリティ機関がまとめた調査報告書によれば、2013年と比較すると2014年はサイバー攻撃の発生件数のうちDDoS攻撃によるものが特に増えています。

自社がDDoS攻撃の標的にされると、自社サービスの運用に大きな支障が出るようになります。出版社や新聞社などが大規模なDDoS攻撃を受け、数日間にわたりウェブサイトが閲覧できなくなるなどの被害も出ています。

DDoS攻撃により運用中のサーバーが稼働できなくなったときに被る金銭的損失は軽視できません。サーバーの停止時間(ダウンタイム)を基準にした損失額は業種により異なりますが、平均で1分あたり22ドルと推定されています。これは1日に換算すると31,680ドル、日本円で約400万円に相当します。サーバーの停止が長期化すれば、損失額は天井知らずとなるでしょう。

最近のDDoS攻撃は、突然仕掛けられるのではなく、ハッカー集団が事前に名指しで宣戦布告してくる傾向が見られます。しかも、攻撃する側は企業や組織に対して何らかの報復として行う場合もあります。犯行声明は出しても具体的な理由は明言しないため、被害側は言われなき攻撃への復旧にひたすら明け暮れなければなりません。

これまでDDoS攻撃は、事業との因果関係はありませんでした。今後は国際情勢や政治、あるいは事業と関連した理由で、サイバー攻撃を受ける可能性があるといえます。

人為面とシステム面、両方のセキュリティ対策が急務

企業のイメージ

大規模な情報の流出事故やDDoS攻撃によるサーバーの停止は、どちらも事業運営に多大な影響をもたらします。しかも、その規模は今後さらに高まることが予想されます。予期せぬセキュリティ事故やサイバー攻撃への対策は急務といえるでしょう。

企業としては、人為的なセキュリティ事故に対しては、従業員への情報セキュリティ教育の充実がまず挙げられます。昨今のセキュリティ事故の発生原因は不用意な添付ファイルの開封やパスワードの使い回しなど、従業員のミスによるものが多いとされています。

「2013年 情報セキュリティインシデントに関する調査報告書」でも、個人情報が流出した原因は、誤操作や管理ミスなど人によるものが6割以上を占めているとの分析を公表しています。従業員にサイバー攻撃への意識を高めるためには、コンピュータウイルスやマルウェアを取り込まないための基礎知識や対処法を教える研修は欠かせません。あわせて、最近発生した新手のサイバー攻撃の手口を紹介して、情報流出につながるような操作をしないよう注意喚起を促していくことも重要といえるでしょう。

顧客情報など管理を徹底しなければならない情報の取り扱いには厳格なルールを策定して、実践できる体制を整えておかなければなりません。たとえば、重要なデータを引き出すなどの特別な作業では、決められた部屋で立会人のもとに行うなどです。特に、システムのメンテナンスなどで委託先から派遣された担当者が重要な情報を扱うときの対策は万全にしておきたいところです。社内から重要な個人情報が持ち出されないよう、運用の徹底を図ることは最重要課題です。

DDoS攻撃の対策には、ネットワークの監視体制の強化が望まれます。異常なパケット流入が発生した場合、それを早急に検知できるシステムを導入するだけでなく、IT管理担当者が即座に対応できるような体制作りも欠かせません。

経営者もサイバー攻撃へのリスク意識を

2016年伊勢志摩サミット、2019年ラグビーワールドカップ、そして2020年東京オリンピックの開催など、日本では大きなイベントを控えています。これらをきっかけに世界中からサイバー攻撃を受ける危険は避けては通れません。

これまでは、サイバー攻撃への対策をIT管理部門が担う業務として扱ってきた企業も多いでしょう。しかし、サイバー攻撃により重大なセキュリティ事故が発生する確率は日に日に高まっています。今後は、サイバー攻撃に伴うリスク管理を「経営戦略の一環」として位置づけていくことが必要となるでしょう。

サイバー攻撃の手口は日々巧妙化しています。
経営者には、これまで以上に自社へのサイバー攻撃とリスク管理について強い意識が求められます。
自社内のパソコンやサーバーにセキュリティ対策用のソフトウェアやシステムを導入していくだけでは新手の攻撃に即応できるとは限りません。今後はクラウド型のセキュリティシステムを導入して、ネットワーク内の個々の端末を包括的に防衛できるセキュリティ対策も検討しておきたいところです。セキュリティ対策のためのIT投資は必要不可欠な事案と捉える必要があります。





参考文献