働き方改革や新型コロナウイルス感染症の流行等を背景に、テレワークやWEB会議等を積極的に導入する企業が増えたことで、社会のデジタル化が更に加速しています。現代のビジネス環境において、PCやスマートフォン等の情報機器は単なるツールではなく、業務遂行上必要不可欠な存在となっています。
大企業のみならず中小企業にとっても、ITの利活用は業務の効率化による収益性向上のほか、新しい製品やサービスを創造し、企業価値向上や国際競争力を高めていくための必須条件となっています。
そうした中、ニュースや新聞等で頻繁に報道されるようになったサイバー攻撃の被害件数は年々、右肩上がりに増加しています。加えて攻撃手法の多様化や巧妙化、悪質化等により事業に悪影響を及ぼすリスクはますます高まってきています。
出典:「令和3年におけるサイバー空間をめぐる驚異の情勢等について(警視庁)」を基に作成
出典:「情報セキュリティ10大脅威(IPA)」を基に作成
大きな理由の一つとして挙げられるのが、“働き方の変化”です。従来までのオフィス勤務では、ネットワークや端末に一定のセキュリティ対策が講じられた安全な環境のもとで業務を行うことができました。
しかし、テレワークの急速な普及に伴い、セキュリティ対策が不十分な私有端末の業務使用や外部ネットワークを経由した社内システムへのアクセスが増加したほか、WEB会議等の業務環境が加わったことで、新たな脆弱性(情報セキュリティ上の欠陥・弱点)が浮き彫りとなっています。
その他の理由としては、“RaaS(Ransomware as a Service)” の普及です。RaaSとは、ランサムウェア(※)によるサイバー攻撃をサービスとして提供・実行するビジネスモデルのことです。
これにより高度なハッキング技術を持っていなくても、容易に攻撃を仕掛けることができるようになったためランサムウェアによる被害件数は年々増加しています。またRaaSは、“ダークウェブ”で頻繁に取引されています。
※ランサムウェアとは
PCのロックやファイルの暗号化により使用不能にした後で、元に戻すことと引き換えに“身代金(Ransom)”を要求する不正プログラムのこと
ダークウェブとはインターネット上の “闇市場 ”のことであり、サイバー攻撃によって奪われた企業や個人情報等の機密情報が高額で売買されています。攻撃者が盗んだデータや情報を換金する仕組みがビジネスとして確立されており、ダークウェブは日々拡大、成長を続けています。
ダークウェブにアクセスするためには、特定のソフトウェア、設定、認証が必要となるため、通常の検索エンジン等では見つけることができません。近年では機密情報のほか、違法薬物や銃器、サイバー攻撃ツールの売買や犯罪組織の思想普及・連絡手段の場としても利用されており、犯罪の温床となっています。
攻撃の標的となる大企業はセキュリティが堅固であるため、比較的セキュリティの甘い下請け等の取引先の中小企業を標的として、大企業との取引メール等の内部情報を盗み出すことで、大企業のシステムへの浸入を試みる攻撃手法が急増しています。
大企業を攻撃するために、取引先である中小企業は “踏み台” にされることからこのような攻撃手法を「踏み台攻撃・サプライチェーン攻撃」と呼んでいます。一度攻撃を受けたことでその影響が大企業にも及んだ場合、取引が継続できなくなるおそれもあります。
従来の個人情報保護法では、サイバー攻撃等による情報漏えい時の本人への通知、個人情報保護委員会への報告は“努力義務”とされていましたが、2022年4月1日より施行された改正個人情報保護法ではどちらも“義務化”されました。
違反した企業に対しては、個人情報保護委員会から、違反行為を是正するように勧告や命令が出せる規定が新たに設けられており、命令違反をした企業名は公表される可能性があることに加え、1億円以下の罰金刑に処される罰則規定も新たに設けられました。
本人への通知等が義務化されたことで、顧客や取引先にセキュリティレベルの低い企業と捉えられてしまい、業績に影響するおそれも懸念されていることから、セキュリティ対策を新たに講じる企業や従前の対策を見直す企業が増えています。
サイバーリスクには、経営を揺るがす重大なリスクであるにも関わらず、リスクそのものの認識が非常に難しいといった特徴があります。
つまり、自社のサイバーリスクに対する態勢診断を行うことで、現状把握をすることが備えへの“第一歩”となります。当社ではサイバーセキュリティに関する様々なサービスをご用意しておりますので、経営課題であるサイバーセキュリティの対策としてご活用ください。
先ずは、“見えない敵”を知ることから始めましょう。企業が抱えるサイバーリスクについて、想定事例とイラストで解説した冊子をご提供しております。以下よりダウンロードが可能です。
客観的に自社のサイバーリスクを診断できるよう、世界でトップレベルのセキュリティベンダーであるベライゾン社と共同開発した「サイバーセキュリティ基本態勢診断」をご提供しております。25問の質問に回答いただくことで、その場で診断結果が表示されます。
サイバー攻撃を受けた場合の損害額を簡易的に算出します。9問の質問に回答いただくことで、複数のシナリオのもとでの賠償・費用・利益の各損害額が算出された報告書をご提供します。
サイバーリスクに強い会社を目指すべく、社員のサイバーセキュリティに関する知識向上を図ります。実態に即した標的型メール訓練等の各種サービスをご提供しております。
また「SECURITY ACTION二つ星(※)」の宣言に必要とされるコンサルティングメニューもご提供しております。
※SECURITY ACTIONとは?
独立行政法人情報処理推進機構(IPA)が運営する、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。取組段階に応じて、制度のロゴマーク(一つ星・二つ星)を使用することができます。
MS&ADインターリスク総研は、「SECURITY ACTION」普及賛同企業として中小企業の情報セキュリティ対策の支援をします。
サイバーセキュリティ対策に役立つ関連資料・サービスメニューをご用意しています。
会員登録の上、以下の資料・サービスをご利用ください。
サイバー攻撃の実態を知る
企業を取り巻くサイバーリスクについて、わかりやすく解説しています。
自社のサイバーリスクの現状を把握する
25問の質問に回答いただくことで、その場で診断結果が表示されます。
サイバー攻撃時の損害額を把握する
9問の質問に回答いただくことで、複数のシナリオのもとでの賠償・費用・利益の各損害額が算出された報告書をご提供します。(対象:法人会員)
標的型メール訓練サービス
標的型攻撃を巧妙に模した「訓練メール」を訓練参加者に送信し、その対応を個々に評価し、適切な対応が行えるよう支援します。(対象:法人会員)
「SECURITY ACTION二つ星」宣言支援
以下のコンサルティングメニューをご提供します。(対象:法人会員) (1)「5分でできる!情報セキュリティ自社診断」結果に基づく助言・コンサルティング (2)情報セキュリティ基本方針・規程等の策定支援
すでに三井住友海上との
お取引はありますか