- 企業とサイバーセキュリティ(サイバーリスクの現状)
- サイバー攻撃が急増している理由
- 犯罪の温床 ダークウェブとは
- なぜ中小企業が狙われるのか?
- 個人情報保護法の改正による影響(2022年4月~)
- サイバーリスクへの備え
- STEP1 サイバー攻撃の実態を知る
- STEP2 サイバーリスクの現状を把握する
- STEP3 サイバー攻撃時の損害額を把握する
- STEP4 サイバーリスクに強い会社へ
- 関連資料・サービスメニュー
- 【冊子】企業を取り巻くサイバーリスク
- サイバーセキュリティ基本態勢診断(簡易版)
- サイバー攻撃時の損害額簡易算出サービス
- サイバーセキュリティ基本態勢診断(詳細版)
- 【ASM資料】5分でわかるASM!
- 【ASM資料】後悔しないASM導入
- 【ASMサービス】MS&ADサイバーリスクファインダー
- 【EDR】防検サイバー・見守るサイバーモード
- 標的型メール訓練サービス
- 「SECURITY ACTION二つ星」宣言支援
企業とサイバーセキュリティ(サイバーリスクの現状)
働き方改革や新型コロナウイルス感染症の流行等を背景に、テレワークやWEB会議等を積極的に導入する企業が増えたことで、社会のデジタル化が更に加速しています。現代のビジネス環境において、PCやスマートフォン等の情報機器は単なるツールではなく、業務遂行上必要不可欠な存在となっています。
大企業のみならず中小企業にとっても、ITの利活用は業務の効率化による収益性向上のほか、新しい製品やサービスを創造し、企業価値向上や国際競争力を高めていくための必須条件となっています。
そうした中、ニュースや新聞等で頻繁に報道されるようになったサイバー攻撃の被害件数は年々、右肩上がりに増加しています。加えて攻撃手法の多様化や巧妙化、悪質化等により事業に悪影響を及ぼすリスクはますます高まってきています。
出典:「令和3年におけるサイバー空間をめぐる驚異の情勢等について(警視庁)」を基に作成
出典:「情報セキュリティ10大脅威(IPA)」を基に作成
サイバー攻撃が急増している理由
大きな理由の一つとして挙げられるのが、“働き方の変化”です。従来までのオフィス勤務では、ネットワークや端末に一定のセキュリティ対策が講じられた安全な環境のもとで業務を行うことができました。
しかし、テレワークの急速な普及に伴い、セキュリティ対策が不十分な私有端末の業務使用や外部ネットワークを経由した社内システムへのアクセスが増加したほか、WEB会議等の業務環境が加わったことで、新たな脆弱性(情報セキュリティ上の欠陥・弱点)が浮き彫りとなっています。
その他の理由としては、“RaaS(Ransomware as a Service)” の普及です。RaaSとは、ランサムウェア(※)によるサイバー攻撃をサービスとして提供・実行するビジネスモデルのことです。
これにより高度なハッキング技術を持っていなくても、容易に攻撃を仕掛けることができるようになったためランサムウェアによる被害件数は年々増加しています。またRaaSは、“ダークウェブ”で頻繁に取引されています。
※ランサムウェアとは
PCのロックやファイルの暗号化により使用不能にした後で、元に戻すことと引き換えに“身代金(Ransom)”を要求する不正プログラムのこと
犯罪の温床 ダークウェブとは
ダークウェブとはインターネット上の “闇市場 ”のことであり、サイバー攻撃によって奪われた企業や個人情報等の機密情報が高額で売買されています。攻撃者が盗んだデータや情報を換金する仕組みがビジネスとして確立されており、ダークウェブは日々拡大、成長を続けています。
ダークウェブにアクセスするためには、特定のソフトウェア、設定、認証が必要となるため、通常の検索エンジン等では見つけることができません。近年では機密情報のほか、違法薬物や銃器、サイバー攻撃ツールの売買や犯罪組織の思想普及・連絡手段の場としても利用されており、犯罪の温床となっています。
なぜ中小企業が狙われるのか?
攻撃の標的となる大企業はセキュリティが堅固であるため、比較的セキュリティの甘い下請け等の取引先の中小企業を標的として、大企業との取引メール等の内部情報を盗み出すことで、大企業のシステムへの浸入を試みる攻撃手法が急増しています。
大企業を攻撃するために、取引先である中小企業は “踏み台” にされることからこのような攻撃手法を「踏み台攻撃・サプライチェーン攻撃」と呼んでいます。一度攻撃を受けたことでその影響が大企業にも及んだ場合、取引が継続できなくなるおそれもあります。
個人情報保護法の改正による影響(2022年4月~)
従来の個人情報保護法では、サイバー攻撃等による情報漏えい時の本人への通知、個人情報保護委員会への報告は“努力義務”とされていましたが、2022年4月1日より施行された改正個人情報保護法ではどちらも“義務化”されました。
違反した企業に対しては、個人情報保護委員会から、違反行為を是正するように勧告や命令が出せる規定が新たに設けられており、命令違反をした企業名は公表される可能性があることに加え、1億円以下の罰金刑に処される罰則規定も新たに設けられました。
本人への通知等が義務化されたことで、顧客や取引先にセキュリティレベルの低い企業と捉えられてしまい、業績に影響するおそれも懸念されていることから、セキュリティ対策を新たに講じる企業や従前の対策を見直す企業が増えています。
サイバーリスクへの備え
サイバーリスクには、経営を揺るがす重大なリスクであるにも関わらず、リスクそのものの認識が非常に難しいといった特徴があります。
つまり、自社のサイバーリスクに対する態勢診断を行うことで、現状把握をすることが備えへの“第一歩”となります。当社ではサイバーセキュリティに関する様々なサービスをご用意しておりますので、経営課題であるサイバーセキュリティの対策としてご活用ください。
STEP1 サイバー攻撃の実態を知る
先ずは、“見えない敵”を知ることから始めましょう。企業が抱えるサイバーリスクについて、想定事例とイラストで解説した冊子をご提供しております。以下よりダウンロードが可能です。
★関連資料・サービス★
・【冊子】企業を取り巻くサイバーリスク
STEP2 サイバーリスクの現状を把握する
客観的に自社のサイバーリスクを診断できるよう、世界でトップレベルのセキュリティベンダーであるベライゾン社と共同開発した「サイバーセキュリティ基本態勢診断」をご提供しております。25問の質問に回答いただくことで、診断結果が表示されます。
★関連資料・サービス★
・サイバーセキュリティ基本態勢診断(簡易版)
・サイバーセキュリティ基本態勢診断(詳細版)
STEP3 サイバー攻撃時の損害額を把握する
サイバー攻撃を受けた場合の損害額を簡易的に算出します。9問の質問に回答いただくことで、複数のシナリオのもとでの賠償・費用・利益の各損害額が算出された報告書をご提供します。
★関連資料・サービス★
・サイバー攻撃時の損害額簡易算出サービス
STEP4 サイバーリスクに強い会社へ
サイバーリスクに強い会社を目指すべく、ASM(Attack Surface Management)やEDR(Endpoint Detection and Respons)サービスをご用意しております。また、社員のサイバーセキュリティに関する知識向上を図るべく、実態に即した標的型メール訓練サービスや「SECURITY ACTION二つ星(※)」の宣言に必要とされるコンサルティングメニューもご提供しております。
※SECURITY ACTIONとは?
独立行政法人情報処理推進機構(IPA)が運営する、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。取組段階に応じて、制度のロゴマーク(一つ星・二つ星)を使用することができます。
MS&ADインターリスク総研は、「SECURITY ACTION」普及賛同企業として中小企業の情報セキュリティ対策の支援をします。
★関連資料・サービス★
・5分でわかるASM!
・後悔しないASM導入
・【ASM】MS&ADサイバーリスクファインダー
・【EDR】防検サイバー・見守るサイバーモード
・標的型メール訓練サービス
・「SECURITY ACTION二つ星」宣言支援
関連資料・サービスメニュー
サイバーセキュリティ対策に役立つ関連資料・サービスメニューをご用意しています。
会員登録の上、以下の資料・サービスをご利用ください。
【冊子】企業を取り巻くサイバーリスク
企業を取り巻くサイバーリスクについて、わかりやすく解説しています。
サイバーセキュリティ基本態勢診断(簡易版)
25問の質問に回答いただくことで、Web上で診断結果が表示されます。
サイバー攻撃時の損害額簡易算出サービス
9問の質問に回答いただくことで、複数のシナリオのもとでの賠償・費用・利益の各損害額が算出された報告書をご提供します。(対象:法人会員)
サイバーセキュリティ基本態勢診断(詳細版)
25問の質問に回答いただくことで、企業のセキュリティ対策の度合いを点数付けします。(対象:法人会員)
【ASM資料】5分でわかるASM!
近年注目されているセキュリティ対策の1つであるASM(Attack Surface Management、アタックサーフェスマネジメント)の基本概念や活用方法等を解説します。 ※三井住友海上ではASMサービスとして、「MS&ADサイバーリスクファインダー」をご提供しています。
【ASM資料】後悔しないASM導入
小規模から大規模、さまざまな業界の約4,000社のアンケート結果を踏まえて、ASMの導入率、導入の目的、重視するポイント、導入後の満足度、人気ソリューションのランキング、利用料金等、ASMに関心のあるセキュリティ担当者の皆さまへ導入検討のきっかけとなる情報をお届けします。 ※三井住友海上ではASMサービスとして、「MS&ADサイバーリスクファインダー」をご提供しています。
【ASMサービス】MS&ADサイバーリスクファインダー
ネットワーク上の攻撃面(Attack Surface)を外部から確認し、脆弱性の有無を診断するサービスです会社・団体のメールアドレス(※)をもとに診断レポートを作成します。 ※ドメイン単位で初回診断は無料です。フリーメールアドレス等、一部診断対象外のメールアドレスがあります。
【EDR】防検サイバー・見守るサイバーモード
EDR(Endpoint Detection and Response)は業務に使用しているパソコンなどの端末に1台ずつ専用ソフトをインストールすることでサイバー攻撃の被害拡大を防止する効果があります。まずは、EDRと他のセキュリティ商品の役割の違いについて分かりやすく解説している「サービス紹介動画」をご覧ください。
標的型メール訓練サービス
標的型攻撃を巧妙に模した「訓練メール」を訓練参加者に送信し、その対応を個々に評価し、適切な対応が行えるよう支援します。(対象:法人会員)
.png)
「SECURITY ACTION二つ星」宣言支援
以下のコンサルティングメニューをご提供します。 (1)「5分でできる!情報セキュリティ自社診断」結果に基づく助言・コンサルティング (2)情報セキュリティ基本方針・規程等の策定支援
このページをシェアする
すでに三井住友海上との
お取引はありますか