サイバーリスク

企業とサイバーセキュリティ（サイバーリスクの現状）

働き方改革や新型コロナウイルス感染症の流行等を背景に、テレワークやＷＥＢ会議等を積極的に導入する企業が増えたことで、社会のデジタル化が更に加速しています。現代のビジネス環境において、ＰＣやスマートフォン等の情報機器は単なるツールではなく、業務遂行上必要不可欠な存在となっています。 大企業のみならず中小企業にとっても、ＩＴの利活用は業務の効率化による収益性向上のほか、新しい製品やサービスを創造し、企業価値向上や国際競争力を高めていくための必須条件となっています。 そうした中、ニュースや新聞等で頻繁に報道されるようになったサイバー攻撃の被害件数は年々、右肩上がりに増加しています。加えて攻撃手法の多様化や巧妙化、悪質化等により事業に悪影響を及ぼすリスクはますます高まってきています。

出典：「令和３年におけるサイバー空間をめぐる驚異の情勢等について（警視庁）」を基に作成

出典：「情報セキュリティ１０大脅威（IPA）」を基に作成

サイバー攻撃が急増している理由

大きな理由の一つとして挙げられるのが、“働き方の変化”です。従来までのオフィス勤務では、ネットワークや端末に一定のセキュリティ対策が講じられた安全な環境のもとで業務を行うことができました。 しかし、テレワークの急速な普及に伴い、セキュリティ対策が不十分な私有端末の業務使用や外部ネットワークを経由した社内システムへのアクセスが増加したほか、ＷＥＢ会議等の業務環境が加わったことで、新たな脆弱性（情報セキュリティ上の欠陥・弱点）が浮き彫りとなっています。 その他の理由としては、“ＲａａＳ(Ｒａｎｓｏｍｗａｒｅ ａｓ ａ Ｓｅｒｉｖｉｃｅ)” の普及です。ＲａａＳとは、ランサムウェア（※）によるサイバー攻撃をサービスとして提供・実行するビジネスモデルのことです。 これにより高度なハッキング技術を持っていなくても、容易に攻撃を仕掛けることができるようになったためランサムウェアによる被害件数は年々増加しています。またＲａａＳは、“ダークウェブ”で頻繁に取引されています。

※ランサムウェアとは ＰＣのロックやファイルの暗号化により使用不能にした後で、元に戻すことと引き換えに“身代金(Ｒａｎｓｏｍ)”を要求する不正プログラムのこと

犯罪の温床 ダークウェブとは

ダークウェブとはインターネット上の “闇市場 ”のことであり、サイバー攻撃によって奪われた企業や個人情報等の機密情報が高額で売買されています。攻撃者が盗んだデータや情報を換金する仕組みがビジネスとして確立されており、ダークウェブは日々拡大、成長を続けています。 ダークウェブにアクセスするためには、特定のソフトウェア、設定、認証が必要となるため、通常の検索エンジン等では見つけることができません。近年では機密情報のほか、違法薬物や銃器、サイバー攻撃ツールの売買や犯罪組織の思想普及・連絡手段の場としても利用されており、犯罪の温床となっています。

なぜ中小企業が狙われるのか？

攻撃の標的となる大企業はセキュリティが堅固であるため、比較的セキュリティの甘い下請け等の取引先の中小企業を標的として、大企業との取引メール等の内部情報を盗み出すことで、大企業のシステムへの浸入を試みる攻撃手法が急増しています。 大企業を攻撃するために、取引先である中小企業は “踏み台” にされることからこのような攻撃手法を「踏み台攻撃・サプライチェーン攻撃」と呼んでいます。一度攻撃を受けたことでその影響が大企業にも及んだ場合、取引が継続できなくなるおそれもあります。

個人情報保護法の改正による影響（２０２２年４月～）

従来の個人情報保護法では、サイバー攻撃等による情報漏えい時の本人への通知、個人情報保護委員会への報告は“努力義務”とされていましたが、２０２２年４月１日より施行された改正個人情報保護法ではどちらも“義務化”されました。 違反した企業に対しては、個人情報保護委員会から、違反行為を是正するように勧告や命令が出せる規定が新たに設けられており、命令違反をした企業名は公表される可能性があることに加え、１億円以下の罰金刑に処される罰則規定も新たに設けられました。 本人への通知等が義務化されたことで、顧客や取引先にセキュリティレベルの低い企業と捉えられてしまい、業績に影響するおそれも懸念されていることから、セキュリティ対策を新たに講じる企業や従前の対策を見直す企業が増えています。

サイバーリスクへの備え

サイバーリスクには、経営を揺るがす重大なリスクであるにも関わらず、リスクそのものの認識が非常に難しいといった特徴があります。 つまり、自社のサイバーリスクに対する態勢診断を行うことで、現状把握をすることが備えへの“第一歩”となります。当社ではサイバーセキュリティに関する様々なサービスをご用意しておりますので、経営課題であるサイバーセキュリティの対策としてご活用ください。

STEP1　サイバー攻撃の実態を知る【無料】

先ずは、“見えない敵”を知ることから始めましょう。企業が抱えるサイバーリスクについて、想定事例とイラストで解説した冊子をご提供しております。以下よりダウンロードが可能です。

STEP2　サイバーリスクの現状を把握する【無料】

客観的に自社のサイバーリスクを診断できるよう、世界でトップレベルのセキュリティベンダーであるベライゾン社と共同開発した「サイバーセキュリティ基本態勢診断」をご提供しております。２５問の質問に回答いただくことで、その場で診断結果が表示されます。

STEP3　サイバー攻撃時の損害額を把握する【無料】

サイバー攻撃を受けた場合の損害額を簡易的に算出します。９問の質問に回答いただくことで、複数のシナリオのもとでの賠償・費用・利益の各損害額が算出された報告書をご提供します。

STEP4　サイバーリスクに強い会社へ（社員教育）【有料】

サイバーリスクに強い会社を目指すべく、社員のサイバーセキュリティに関する知識向上を図ります。全１１種類の教育コンテンツから選べるeラーニングのほか、実態に即した標的型メール訓練等の各種サービスをご提供しております。 また「SECURITY ACTION二つ星（※）」の宣言に必要とされるコンサルティングメニューもご提供しております。 ※SECURITY ACTIONとは？ 独立行政法人情報処理推進機構（IPA）が運営する、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。取組段階に応じて、制度のロゴマーク（一つ星・二つ星）を使用することができます。 ＭＳ＆ＡＤインターリスク総研は、「SECURITY ACTION」普及賛同企業として中小企業の情報セキュリティ対策の支援をします。

関連資料・サービスメニュー

サイバーセキュリティ対策に役立つ関連資料・サービスメニューをご用意しています。 会員登録の上、以下の資料・サービスをご利用ください。