최신 정보 보안 동향은 무엇입니까?
2023 년 정보 보안 조치를 설명 할 것입니다!

세계가되어서 사업이 DX가됩니다セキュリティインシデントや情報漏洩は年々増加傾向にあります。その被害は社内にとどまらず、社外におよぶことも少なくありません。まずは世間を震撼させ、今も継続している2つの脅威について解説します。

2023年10大脅威第1位の「ランサムウェア」

IPA (독립 행정 기관)ランサムウェアによる被害」が3年連続で選定されました。
몸값은 영어로 "랜섬"을 의미합니다 다시 말해서ランサムウェアとは身代金を要求するマルウェアのことです。主な感染経路はメールで、メールに添付されているファイルを開いたりリンクにアクセスしたりすることでランサムウェアがダウンロードされ、感染します。ランサムウェア에 감염되면 PC 또는 기타 컴퓨터에 저장된 데이터는 암호화되고 사용할 수 없으며 데이터 복원 대가로 지불해야합니다
さらに近年では、搾取された重要情報を公開すると脅す「二重脅迫」、被害者の顧客や利害関係者に連絡すると脅す「四重脅迫」も確認されています。

従来、ランサムウェアによる被害は不特定多数のユーザーを狙ったものが多かったのですが、ここ数年は特定の企業・組織をターゲットにした標的型メールが増えています。被害報告は事業規模を問わず発生しているものの、その多くが中小企業の脆弱性を狙った攻撃と指摘されています。

여러 활동을 반복하는 EMOTET 맬웨어

Emotet（エモテット）は、大変高い感染力と拡散力を持つマルウェアの一種で、2014年に初めて検出されました。2021年に入っていったんその脅威は去ったように思われましたが、同年11月に活動再開のニュースが報じられ、2022年2月には日本国内においてEmotet의 공격 및 감염 확산되었고 IPA는 심지어주의를 기울여야했습니다
主な感染経路はメールですが、偽装が巧妙なため、うっかりだまされて添付ファイルを開いてしまう人が後を絶ちません。また中小企業を「踏み台」にして大手企業を狙うケースも増加。中小企業は大手企業に比べてセキュリティ対策が十分でない可能性が高いため、攻撃者は侵入しやすいと考えるのです。
Emotetに感染すると、機密情報が盗まれる、社外に感染が広がる、ほかのマルウェアの媒介も行うなど、取引先や顧客を巻き込みながら被害が拡大していくおそれがあります。
2022年はEmotetが猛威をふるった年でもありました。同年11月に数日程度の活動が観測されて以降しばらく休止状態が続いていましたが、4か月後の2023年3月、再びメール送信による活動が報告されています。マルウェアは拡散と収束を繰り返すケースが多く、Emotetも同様と見られており、引き続き警戒が必要です。

情報セキュリティ対策というと外部からの攻撃に備えるというイメージがあります。しかしリスクは社外だけにあるとは限りません。社内にもリスクが潜んでいることを想定し、対策しておくことが必要です。

悪気がなくても起こる「ヒューマンエラー」

東京商工リサーチの調査によると、2022年に上場企業とその子会社で個人情報漏洩・紛失事故を公表した数は150社で、事故件数は165件、流出・紛失した個人情報は592万7,057人分におよび、2年連続で最多を更新しています。その原因で1番多いのは「ウイルス感染・不正アクセス」55.1%（91件）ですが、次に多いのが「誤表示・誤送信」26.0%（43件）、さらに「紛失・誤破棄」15.1%（25件）が続きます。

悪気はなくても操作ミスによってメールを誤送信してしまうことは、セキュリティインシデントの一つなのです。いくらミスのないように努めていても、「ついうっかり」ヒューマンエラーは起こり得ます。集中力や注意力が低下したときは、そのリスクが高まります。ほかにも業務経験の少ない新入社員がメールの使い方を正しく理解できておらず、誤操作や誤送信をしてしまうケースもあります。

ゼロの状態からセキュリティのあり方を考える

そこで最近、情報セキュリティ対策における考え方としてよく聞くようになったのが「ゼロトラスト」です。トラストがゼロの状態とは、誰（ユーザー）も、どこ（ネットワーク）も、何（デバイス）も信用しないということで、そうした前提に立って対策を行うという新しいセキュリティのあり方です。

従業員を信用しないのかと眉をひそめる経営者の方もいるかもしれません。しかしこれは悪い意味で疑うということではありません。後ほど事例のところで紹介するように、内部不正も可能性としては皆無ではありませんが、それよりも気をつけなければならないのは、先ほど述べたようにケアレスミスのほうです。きっかけは誤送信であったとしても、従業員や顧客の情報、社外秘や取扱注意の情報が流出してしまうと、今後の取引に悪影響を及ぼします。会社の信頼にかかわる事故に発展するケースもないとはいえません。場合によっては賠償請求などの責任を問われることもあるでしょう。さらに「情報漏洩した企業」というイメージを持たれることで、社会的信用の低下の恐れも考えられます。

ここからは2023年に起きた最新の情報セキュリティ事故をいくつか紹介します。

CASE01 랜섬웨어 피해 확산

CASE02 감정 감염으로 인한 개인 정보 누출

CASE03 승인되지 않은 액세스로 인한 스팸 전자 메일

CASE04 신용 카드 정보 유출

続いて人為的なミスによって情報が漏洩したインシデントをいくつか紹介します。また「ミス」ではありませんが、内部不正についても事例を挙げておきます。

CASE01 일반적으로 이메일을 잘못 전송

CASE02 클라우드 환경의 오해로 인한 고객 정보 유출

CASE03 전 직원이 개인 정보를 제공하고 사기 적으로 사용합니다

ここまでに紹介してきたような情報セキュリティ事故を防ぐにはどうすればよいのでしょうか。事故を起こした企業は、今後の再発防止に向けてほぼ同じことを述べます。それは「情報セキュリティ教育の徹底」と「社内管理体制の強化」です。
しかしサイバー攻撃は年々巧妙化することを考えると、人的な対応だけでは十分とはいえません。先の2つとあわせて、多様なマルウェアや不正アクセスに対応できる適切なツールの選定が重要になってきます。それぞれを具体的に見ていきましょう。

社内管理体制の強化

一言でいえば「適切なルールづくりをする」ということです。普段からどのようなことに気をつけて業務を行い、万が一のことが起きた場合にはどうやって被害防止に努めるのか。また、インシデントが発生したときには誰に報告や相談をすればよいのかといったことをしっかりと決めておきます。
そのためには、これまでの何がインシデントの原因になってしまったのかという見直しから始め、そのうえで遵守すべき事項を再整備しましょう。

情報セキュリティ教育の徹底

ヒューマンエラーに備えるには、従業員の意識の向上が欠かせません。コンプライアンスを徹底しようと言ったとして、そのときはわかったつもりになっても、定着させることは容易ではありません。継続的に研修や教育を実施することが必要になります。
そのためには、経営者が率先して意識を変えることも大切です。自社は大丈夫だろうと思ってしまいがちですが、そうした思い込みを捨て、リスクを理解したうえで従業員の情報セキュリティ教育に努めましょう。

適切なセキュリティツールの選定

さまざまなリスクに対して、複数のソフトやツールを組み合わせて多層防御を行うのは、実際のところ大変です。専任の部署や担当者を配置することは、人員が限られる中小企業にとって現実的な対応ではありません。

そこで注目したいセキュリティツールがUTMです。UTMをネットワークの入口に設置することで、外部からの脅威だけでなく内部からの脅威にも備えることができます。各種マルウェアや不正アクセスなどのサイバー攻撃を検知し防止するだけでなく、内部機器からの不正アクセス의 확산 방지, 바이러스 및 부적절한 사이트보기와 같은 고급 정보 보안 조치를 허용합니다 즉, 전용 IT 직원이 필요없이 최신 위협에 응답 할 수 있습니다

さらに、UTMにはサイバー保険が標準で付帯しているものもあります。使いやすさ、耐久性、サポート体制など、しっかり比較検討したうえで自社のニーズに最も適したUTMを選びましょう。

今回は最新の情報セキュリティ事情について、実際に起きたインシデントの事例もいくつか交えながら解説してきました。サイバー攻撃は大手企業だけが狙われるものではありません。近年はむしろセキュリティ対策が十分でない中小企業をターゲットにして、脆弱性を突く攻撃も増加しています。こうした巧妙な手口に備えるには社内管理体制の強化、情報セキュリティ教育の徹底とあわせて、適切なツールの活用が欠かせません。

また情報セキュリティリスクは外部だけでなく、内部にも潜んでいます。そんなさまざまなリスクにオールインワンで対応してくれるのがUTMです。サイバー攻撃や情報漏洩といった脅威に備え、自社だけでなく顧客や取引先も守る、そうした取り組みが会社の信頼度を高めていきます。

サクサでは、今回ご紹介したUTMなどのセキュリティツールをはじめ、情報セキュリティ対策のご提案を通して、中堅・中小企業のさまざまな課題解決をサポートさせていただきます。ぜひ気軽にお問い合わせください。