企業の機密情報を狙う不正アクセス、基幹システムを停止させて身代金を取るランサムウェア、さらにはセキュリティソフトの脆弱性を突くゼロデイ攻撃など、さまざまな種類のサイバー攻撃が企業に被害をもたらしています。
なぜ、攻撃者はサイバー攻撃を仕掛けるのでしょうか。また、サイバー攻撃の被害を未然に防ぐには、どのような対策をとればよいのでしょうか。本記事では、サイバー攻撃が仕掛けられる目的や、二段階認証や二要素認証の導入をはじめとした、企業が今とるべき対策について説明します。
- サイバー攻撃はなぜ起こる?攻撃者の2つの目的
- サイバー攻撃によって企業に生じる2つのリスク
- サイバー攻撃に備えて企業が取るべき2つの対策
目次
サイバー攻撃はなぜ起こる?攻撃者の2つの目的
そもそも、サイバー攻撃はなぜ起こるのでしょうか。サイバー攻撃が仕掛けられる目的について知ることが、情報セキュリティ対策の第一歩です。事業活動を営む企業にとって、とくに注意したいサイバー攻撃の目的を2つ解説します。
1. 多額の金銭を搾取する
攻撃者のなかでも、企業から多額の金銭を搾取することを目的にサイバー攻撃を仕掛けるケースが少なくありません。とくに注意が必要なのが、企業・医療機関・公共施設などの基幹システムをマルウェアに感染させてロックし、サービス再開と引き換えに身代金を要求する「ランサムウェア」によるサイバー攻撃です。
経済産業省の報告書によると、2019年に発生したランサムウェアの被害額で、日本は世界2位の約2億2,800万円の被害額が発生したといわれています。[注1]
また、情報処理推進機構の「情報セキュリティ10大脅威 2021」によると、2020年に発生した情報セキュリティ事故のうち、もっとも脅威度が高いのが「ランサムウェアによる被害」でした。[注2]
[注1] 経済産業省:最近のサイバー攻撃の状況を踏まえた経営者への注意喚起
https://www.meti.go.jp/press/2020/12/20201218008/20201218008-2.pdf
[注2] 情報処理推進機構:情報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html
2. 機密情報や個人情報を盗む
攻撃者の多くは、企業の機密情報や個人情報を盗む目的でサイバー攻撃を仕掛けます。代表的なケースが、知的財産を狙う「産業スパイ」です。攻撃者の手口に多いのが、ターゲット企業の従業員にウイルスやマルウェアを含むメールを送りつけ、感染させる「標的型攻撃」です。情報処理推進機構の「情報セキュリティ10大脅威 2021」でも、「標的型攻撃による機密情報の窃取」が2位にランクインするなど、企業にとって深刻な脅威となっています。[注2]
2015年6月には、日本年金機構の従業員が標的型メール攻撃を受け、合わせて約125万件の個人情報が流出する大規模なセキュリティ事故が発生しています。
[注2] 情報処理推進機構:情報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html
サイバー攻撃によって企業に生じる2つのリスク
サイバー攻撃を受けると、企業はさまざまなリスクを抱えます。企業生命に関わると言っても過言ではないでしょう。そのなかでも、とくに影響が大きいサイバー攻撃のリスクを2つ紹介します。
1. 事業活動の継続が困難になる
サイバー攻撃を受けると、事業活動の継続が困難になる恐れがあります。たとえば、ランサムウェアによって基幹システムが破壊されれば、復旧までの間、事業活動が停止します。顧客企業への納期遅れの発生や、ビジネスチャンスの損失など、事業活動に大きなダメージが生じます。
また、外部から不正アクセスを受け、従業員の個人情報などが流出した場合、従業員からの訴訟リスクや、従業員の士気低下にともなう人材流出のリスクも考えられます。顧客の個人情報が流出した場合は、不正利用やなりすましのリスクも生じます。サイバー攻撃への備えを怠ると、事業活動の継続が難しくなり、倒産や債務超過に陥る可能性があります。
2. ブランドイメージや信頼が低下し、顧客を失う
大規模な個人情報の流出など、サイバー攻撃を受けたことが大きく報じられると、社会的評価の低下を免れません。企業のブランドイメージや信頼が低下し、自社サービスから他社サービスへの顧客流出や、大口顧客からの受注停止など、顧客を失うリスクがあります。
企業の社会的責任を果たし、大切な個人情報や機密情報を漏えいさせないよう、情報セキュリティ対策に取り組むことが大切です。
サイバー攻撃に備えて企業が取るべき2つの対策
サイバー攻撃の被害を未然に防ぐため、企業はどんな対策を取るべきでしょうか。情報セキュリティ対策のため、すでにウイルス対策ソフトを導入している企業も多いでしょう。
しかし、システムの末端(=エンドポイント)を守るエンドポイントセキュリティの考え方だけでは、日々高度化を続けるウイルスやマルウェアの脅威を完全には防げません。ここでは、ウイルス対策ソフトと一緒に導入すべき2つのセキュリティ対策を紹介します。
1. 入口対策・内部対策・出口対策の多層防御を実現する
サイバー攻撃の被害を防ぐには、エンドポイントセキュリティの考え方だけでなく、入口対策、内部対策、出口対策の「多層防御」を実現することが大切です。
| 目的 | 具体例 | |
| 入口対策 | 外部からのウイルス感染や不正アクセスを防ぐ | ・IDS/IPSを導入し、サイバー攻撃が疑われるアクセスを検知・遮断する
・送信ドメイン認証を活用し、正規のサーバー以外のメールを遮断する |
| 内部対策 | 内部でのウイルス・マルウェアの蔓延を防ぐ | ・振る舞い検知型ソフトウェアを導入し、ウイルス・マルウェア感染が想定される行動を遮断する
・サーバーのアクセス制御を行ない、権限を持つユーザー以外のアクセスを禁止する ・機密情報を暗号化し、第三者に解読できないようにする |
| 出口対策 | もし感染してしまった場合の被害を最小限化する | ・IDS/IPSを導入し、情報漏えいが疑われるアクセスを検知・遮断する
・通信を行うIPアドレスをフィルタリングし、不正なIPアドレスとの通信を行わない ・外部向けの大容量のデータ通信を制限し、データ流出を食い止める |
多層防御を実現することで、もし入口・内部・出口のいずれかが攻撃者に突破されても、ほかの層でサイバー攻撃を食い止めることができます。1つのソリューションだけでなく、複数のソリューションを組み合わせ、入口対策、内部対策、出口対策の3つを同時に実現することが情報セキュリティ対策のポイントです。
二段階認証や二要素認証を導入する
新型コロナウイルス感染症対策をはじめとして、テレワークやリモートワークを導入する企業が増えています。オフィスの外で働く従業員が増えると、セキュリティ対策が必要な範囲が増えるため、多層防御の考え方だけではセキュリティコストが著しく増大するリスクがあります。
そこで役に立つのが、従業員がサービスあるいはアプリケーションにログインするときの認証を強化する「二段階認証」や「二要素認証」の導入です。
二段階認証とは、ログインの際に2度の認証手続きを要求する仕組みです。一方、二要素認証は「IDやパスワードの入力」「秘密の質問」などの知識要素、物理的なスマートフォンを使ったSMS認証などの所有要素、ユーザー固有の指紋認証や顔認証といった生体要素などの異なるタイプの認証要素を2つ組み合わせ、ユーザー認証のセキュリティを強化する方法です。なお、複数要素を組み合わせる「二要素認証」のほうが、認証レベルは高いため、より安全です。
▶︎「二要素認証」と「二段階認証」の違いや導入メリット・種類を詳しく紹介
二段階認証や二要素認証を導入すれば、不正ログインやなりすましを防げます。サイバー攻撃を防ぐため、多層防御の考え方に加えて、二段階認証や二要素認証の導入も検討しましょう。
【まとめ】
サイバー攻撃の目的や手口を知り適切な情報セキュリティ対策を
企業が警戒すべきサイバー攻撃の目的は、「多額の金銭の搾取」「機密情報や個人情報の漏えい」の2つです。サイバー攻撃への対策を怠ると、事業活動の継続が困難になったり、既存の顧客を失ったりする事態に陥りかねません。入口対策・内部対策・出口対策の多層防御や、二段階認証・二要素認証の導入によって、サイバー攻撃を未然に防ぐための情報セキュリティ対策に取り組みましょう。
▶︎ 「i-dentify(SMS認証)」でセキュリテイ強化
▶︎ 「i-dentify(着信電話認証)」でセキュリテイ強化
