サイバーリスクとは、サイバーセキュリティリスクとも呼ばれ、サイバーセキュリティに関連して不具合が生じ、企業の経営に何らかの影響がおよぶ可能性を指します。具体的には、企業が保有する情報資産やシステムに潜んでいる潜在的な脅威や危険性のことをいいます。
サイバーリスクが生じている状態をそのまま放置すれば、情報漏えいや改ざん、システムの停止等の被害につながる恐れがあり、企業の事業活動に大きな影響が出てくるでしょう。
警察庁が公表している「令和5年におけるサイバー空間をめぐる脅威の情勢等について」の資料によれば、企業のサイバーリスクは年々高まっていることがわかります。警察庁がインターネット上に設置したセンサーを基に通信パケットの分析を行ったところ、検知したアクセス件数は2019年(R1)が1日・1IPアドレスあたり4,192.0件であったのに対し、2023年(R5)には1日・1IPアドレスあたり9,144.6件と倍増しています。
(引用:警察庁『令和5年におけるサイバー空間をめぐる脅威の情勢等について』)
大きな理由の一つとして挙げられるのが、“働き方の変化”です。従来までのオフィス勤務では、ネットワークや端末に一定のセキュリティ対策が講じられた安全な環境のもとで業務を行うことができました。
しかし、テレワークの急速な普及に伴い、セキュリティ対策が不十分な私有端末の業務使用や外部ネットワークを経由した社内システムへのアクセスが増加したほか、Web会議等の業務環境が加わったことで、新たな脆弱性(情報セキュリティ上の欠陥・弱点)が浮き彫りとなっています。
その他の理由としては、“ RaaS(Ransomware as a Service) ” の拡大です。RaaSとは、ランサムウェア(※)によるサイバー攻撃を不正なサービスとして提供・実行するビジネスモデルのことです。
これにより高度なハッキング技術を持っていなくても、容易に攻撃を仕掛けることができるようになったためランサムウェアによる被害件数は年々増加しています。またRaaSは、“ダークウェブ”で頻繁に取引されています。
※ランサムウェアとは
PCのロックやファイルの暗号化により使用不能にした後で、元に戻すことと引き換えに“身代金(Ransom)”を要求する不正プログラムのこと
ダークウェブとはインターネット上の “闇市場 ”のことであり、サイバー攻撃によって奪われた企業や個人情報等の機密情報が高額で売買されています。攻撃者が盗んだデータや情報を換金する仕組みがビジネスとして確立されており、ダークウェブは日々拡大、成長を続けています。
ダークウェブにアクセスするためには、特定のソフトウェア、設定、認証が必要となるため、通常の検索エンジン等では見つけることができません。近年では機密情報のほか、違法薬物や銃器、サイバー攻撃ツールの売買や犯罪組織の思想普及・連絡手段の場としても利用されており、犯罪の温床となっています。
サイバー攻撃は近年、さらに攻撃手段が多様化している傾向が見られます。独立行政法人情報処理推進機構が公表している「情報セキュリティ10大脅威 2024[組織]」によれば、9年連続でランサムウェアや標的型攻撃がランクインしています。
前述のランサムウェアはRaaSの拡大などを背景に初出年度から毎年ランクインし続けています。
標的型攻撃とは特定の組織をターゲットとして、機密情報や知的財産、IDやパスワード等の情報を窃取しようとする攻撃をいいます。さらに、「情報セキュリティ10大脅威2024[組織]」の第2位にランクインしているサプライチェーン攻撃は、関連企業や取引先企業にサイバー攻撃を仕掛け、その企業を踏み台としてターゲットとする企業に不正侵入を行う攻撃のことです。
このように、サイバー攻撃の手段は多様化しているため、企業の経営課題としてサイバーリスクを捉え、セキュリティ対策を行っていく必要があるといえます。
(引用:独立行政法人情報処理推進機構『情報セキュリティ10大脅威2024[組織]』)
中小企業においては、サイバー攻撃の中でも特にサプライチェーン攻撃が増加しているといえます。独立行政法人情報処理推進機構が取りまとめた「令和4年度中小企業等に対するサイバー攻撃の実態調査 調査実施報告書」によれば、情報セキュリティ対策の運用・管理について、「できている」と回答している企業は全体の31.8%であり、多くの中小企業ではサプライチェーン攻撃をはじめとしたサイバー攻撃に対する十分な備えが整っているとはいえない状況です。
(引用:独立行政法人 情報処理推進機構『令和4年度中小企業等に対するサイバー攻撃の実態調査 調査実施報告書』)
中小企業がサイバー攻撃の標的になりやすいのは、大企業のセキュリティが堅固であるためともいえるでしょう。セキュリティが比較的甘い取引先である中小企業が、サプライチェーン攻撃の標的とされやすく、被害が増えている傾向が見られます。
2022年4月1日から施行された改正個人情報保護法によって、サイバー攻撃等による情報漏えい時の本人への通知や個人情報保護委員会への報告は「義務化」されています。法改正によって、顧客や取引先にセキュリティレベルの低い企業と判断されれば、業績に影響が出てしまう懸念があります。
また、違反した企業に対しては、個人情報保護委員会から、違反行為を是正するように勧告や命令が出せる規定が新たに設けられている点も押さえておく必要があるでしょう。命令違反をした企業名は公表される可能性があることに加え、1億円以下の罰金刑に処される罰則規定も新たに設けられました。
法改正や新たに設けられた規定によって、セキュリティ対策を講じる企業や従前の対策を見直す企業が増えています。
中小企業が取り組めるサプライチェーン攻撃対策として、「VPNの多要素認証」が挙げられます。VPN(Virtual Private Network)とは「仮想プライベートネットワーク」のことであり、インターネット上でプライバシーやセキュリティを保護しながら、安全にデータ通信を行うための技術をいいます。
リモートワークの増加によってメール等でのやりとりが多くなったことで、VPNの脆弱性を狙ったランサムウェア攻撃が急増していることを押さえておきましょう。ランサムウェア攻撃の対策としては、VPNの多要素認証を設定することがとても有効であるといえます。
ランサムウェア等に侵入されることを前提として、次に紹介するASMやEDRを用いた対策を行っていく必要があります。
(引用:経済産業省『「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめました』)
サイバー攻撃が年々、多様化・巧妙化する流れの中で、従来のウイルス対策ソフトだけでウイルスの侵入を防ぐのは難しくなっています。そのため、ASMやEDRといった仕組みが注目されており、サイバー攻撃の脅威を防ぐ手段として活用されています。
ASM(Attack Surface Management)とは、サイバー攻撃者の視点でアクセスが行えるIT資産を洗い出し、個々に存在する脆弱性等のリスクを継続的に検出・評価する一連のプロセスのことです。ASMは実際にサイバー攻撃を受ける前の予防段階で行われるものであり、事前の備えである点を押さえておきましょう。
EDR(Endpoint Detection and Response)は、未知のマルウェア等の不審な動きを検知して、マルウェアに感染した後の対応を速やかに行えるようにするための内部対策を指します。PCやスマートフォン、サーバといった端末における脅威や異常を検知した場合、速やかに隔離するといった形で被害の拡大を防ぎます。
ウイルス対策ソフトでは、新たなマルウェアを検知することができませんでしたが、EDRであれば端末の不審な動作から以上を検知することが可能です。EDRを活用することで、問題の早期発見を行うことができ、必要な対応を取れるようになります。
(引用:東京都産業労働局『令和6年度中小企業サイバーセキュリティ 基本対策事業 事業説明会』)
サイバーセキュリティ対策に役立つ資料やサービスをご用意していますので、ご利用ください(会員登録が必要なものがあります)。
【冊子】企業を取り巻くサイバーリスク
企業を取り巻くサイバーリスクについて、わかりやすく解説しています。
サイバーセキュリティ基本態勢診断(簡易版)
25問の質問に回答いただくことで、Web上で診断結果が表示されます。
サイバー攻撃時の損害額簡易算出サービス
9問の質問に回答いただくことで、複数のシナリオのもとでの賠償・費用・利益の各損害額が算出された報告書をご提供します。(対象:法人会員)
サイバーセキュリティ基本態勢診断(詳細版)
25問の質問に回答いただくことで、企業のセキュリティ対策の度合いを点数付けします。(対象:法人会員)
【ASM資料】5分でわかるASM!
近年注目されているセキュリティ対策の1つであるASM(Attack Surface Management、アタックサーフェスマネジメント)の基本概念や活用方法等を解説します。 ※三井住友海上ではASMサービスとして、「MS&ADサイバーリスクファインダー」をご提供しています。
【ASM資料】後悔しないASM導入
小規模から大規模、さまざまな業界の約4,000社のアンケート結果を踏まえて、ASMの導入率、導入の目的、重視するポイント、導入後の満足度、人気ソリューションのランキング、利用料金等、ASMに関心のあるセキュリティ担当者の皆さまへ導入検討のきっかけとなる情報をお届けします。 ※三井住友海上ではASMサービスとして、「MS&ADサイバーリスクファインダー」をご提供しています。
【ASMサービス】MS&ADサイバーリスクファインダー
ネットワーク上の攻撃面(Attack Surface)を外部から確認し、脆弱性の有無を診断するサービスです会社・団体のメールアドレス(※)をもとに診断レポートを作成します。 ※ドメイン単位で初回診断は無料です。フリーメールアドレス等、一部診断対象外のメールアドレスがあります。
【EDR】防検サイバー・見守るサイバーモード
EDR(Endpoint Detection and Response)は業務に使用しているパソコンなどの端末に1台ずつ専用ソフトをインストールすることでサイバー攻撃の被害拡大を防止する効果があります。まずは、EDRと他のセキュリティ商品の役割の違いについて分かりやすく解説している「サービス紹介動画」をご覧ください。
標的型メール訓練サービス
標的型攻撃を巧妙に模した「訓練メール」を訓練参加者に送信し、その対応を個々に評価し、適切な対応が行えるよう支援します。(対象:法人会員)
「SECURITY ACTION二つ星」宣言支援
以下のコンサルティングメニューをご提供します。 (1)「5分でできる!情報セキュリティ自社診断」結果に基づく助言・コンサルティング (2)情報セキュリティ基本方針・規程等の策定支援
すでに三井住友海上との
お取引はありますか