インターネットは社会生活や企業の経済活動に浸透し、社会インフラとして不可欠な存在となりました。こうした中、基幹システムを破壊し機能を麻痺させるサイバー攻撃や、さまざまな情報を盗み出す目的で通信網に侵入する不正アクセスは年々増加しています。国立研究開発法人情報通信研究機構（NICT）の調査によると、2022年のサイバー攻撃関連通信数（約5,226億パケット）は5年前（約1,559億パケット）と比較して約3.3倍に増加。また総務省と経済産業省、警察庁の3省庁が発表した同年の不正アクセス認知件数（2,200件）は前年比約45％増と大幅に増加しています。今やサイバー攻撃は、誰もが対象となり得る社会的な脅威であると言えます。そこで今回は、企業活動を取り巻くサイバー攻撃の傾向と対策を紹介します。


手口はさまざま　サイバー攻撃の種類

ひと口に「サイバー攻撃」といっても、その種類や目的はさまざまです。

サイバー攻撃

〈不正アクセス〉
不正アクセスとは、アクセスする権限がないのにシステムやサーバに侵入する行為です。データベースを操作する言語を攻撃対象のデータベースに注入して情報を取得する、パスワードに使用されやすい単語を組み合わせてログインする、他サイトで盗んだID・パスワードを適用しログインするなどの手口が報告されています。

〈ランサムウェア〉
感染したパソコンやサーバのデータを、攻撃者しか読めないように暗号化し、暗号解除のため身代金を要求する不正プログラムです。従来は不特定多数の利用者を狙ってメールを送信するといった手口が一般的でしたが、最近では、企業のネットワーク機器等のインフラのぜい弱性を狙って侵入する手口が多くみられます。

〈フィッシング〉
送信者を詐称したメールを送りつけたり、偽のホームページに接続させたりするなどの方法で、クレジットカード番号、ID・パスワードなどの重要な情報を盗み出す行為です。個人を対象としたサイバー攻撃としては多くみられるものの一つです。

〈標的型攻撃〉
正当な連絡を装い、不正プログラム（ウイルス）を添付したメールを送信して、受信者のパソコンを感染させる行為です。業務等に関係する内容を装って複数回にわたりメールのやり取りを行い、標的を信用させた後に不正プログラムを添付したメールを送信する「やり取り型」の攻撃件数も増加しています。

〈DDoS攻撃〉
複数端末から一斉に大量のアクセスなどを行いサーバをバンクさせ、標的のサービスを利用できなくする行為です。



組織化やターゲットの多様化が顕著に


サイバー攻撃の傾向は、インターネット技術の進歩や時代の変化とともに変わってきています。最近では組織的なサイバー攻撃が多くみられ、攻撃方法も高度化。対策をかいくぐるように些細な脆弱箇所を攻撃し、気がついたときにはプログラムに侵入されているという事例も少なくありません。
 
攻撃の目的も、フィッシングなど、クレジットカード番号やID・パスワードなどの情報を盗み出し電子商取引を不正利用するものに加え、ランサムウェアを使用してシステムを機能不全に陥れ、元に戻すための巨額な身代金を要求するという大掛かりなものも増えています。
 
またコロナ禍によるテレワークの普及により、利用するデバイスの多様化、デバイスの社外への持ち出し、クラウドサービスの利用など、インターネットの使用環境についてオフィスから社外への移行が進んでいます。それにより、企業ネットワークのファイアウォールよりも脆弱な箇所を狙った攻撃が増加しています。
 
さらには、セキュリティ対策が整った大企業への攻撃を果たすために、よりハードルの低いグループ企業、支社、海外拠点、取引先の中小企業などを対象として攻撃し、そこから本社のシステムへの侵入を目論む「サプライチェーン攻撃」が増加していることも特徴的です。


これらの傾向からもわかるように、サイバー攻撃の対象は従業員個人や中小企業にも及んでおり、そのための対策のアップデートは、すべてのインターネット利用者に求められています。








組織がとるべきサイバー攻撃対策


サイバー犯罪の組織化、高度化に対処するためには、企業としてどのような対策をすればよいのでしょうか。
 
まずは基本的な情報の機密性や安全性、可用性を維持していくために規定する組織の方針や行動指針「情報セキュリティポリシー」をまとめ、社内に徹底することです。そこには以下のような項目を含めることが推奨されます。


〈安全なパスワード管理〉
まず大切なのは、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することです。また一つのパスワードを複数のサービスで使いまわさないこと、パスワードを記したメモなどは厳重に保管をするよう心がけるなども徹底しましょう。なお以前はパスワードの定期的な変更が推奨されていましたが、内閣サイバーセキュリティセンター（NISC）が発行する『インターネットの安全・安心ハンドブックVer 5.00（令和5年1月31日）』には、パスワードを定期変更する必要はないとの見解が示されています。これには定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをすることを防ぐという意図があります。 


〈メールセキュリティ強化〉
怪しいメールが届いた場合の対処や報告義務を徹底することが第一ですが、ウイルス対策を十分に実施していたとしても感染してしまうことがあります。その際にはＰＣの電源を切らずに、LANケーブルを抜く、無線LANのスイッチを切るなどの方法で、社内ネットワークから感染したデバイスを切り離すルールを周知しましょう。またCCやBCCの使用ミスによる大量メールの誤送信を防ぐために、多くの宛先に対して同時にメールを送信したいときには、通信事業者が提供する同報メールサービスを利用することも検討しましょう。  


〈外部ストレージ接続ルールの規定〉
外付けハードディスクやUSBメモリーなど、外部記憶媒体に記録した情報は、外に持ち出したり机の上に放置したりすることは避けなければなりません。鍵のかかる場所に保管するなど、適切な保管方法をとるようにしましょう。  


〈ウイルス対策ソフトの導入〉
最近のウイルスは、メールをプレビューしたり、ホームページを閲覧したりするだけで感染するなど巧妙化しています。まずはOSやソフトウェアを更新して最新の状態に保つこと、ウイルス対策ソフトをインストールし常に最新のものに更新しておくことが大切です。

これらに加え、攻撃型メールへの対応力を身につける目的で、標的型攻撃を模擬した訓練メールを従業員に送信する訓練を定期的に行うことも有効です。添付ファイルまたはメールにあるURLをクリックすると訓練であることを示すメッセージが表示され、訓練結果が自動的にレポートとしてまとめられる機能を提供する企業もあります。





サイバー攻撃による被害に備える「サイバー保険」


サイバー攻撃による被害は、直接的な金銭的被害（取引先・顧客からの損害賠償／原因調査費用／関係者対応などでかかる事故対応費用）に加えて、顧客の喪失（社会的評価の低下／競合への流出／今後の取引停止）、事業継続の阻害（システム停止による納期遅れ、営業機会損失／士気低下による人材流失／従業員からの訴訟）など、さまざまな領域に及びます。
 
企業の存続をも危うくするこれらのリスクに対し、システム上の対策や対応組織の整備等を実施するとなると、かなりの費用が必要となります。また、どんなに手厚い対策を講じても、サイバー攻撃のリスクをゼロにすることはできません。そこで、リスクに備える方法のひとつに「サイバー保険」があります。サイバー事故により生じた第三者に対する「損害賠償責任」のほか、事故時に必要となる「費用」や自社の「喪失利益」を包括的に補償する保険です。
 
保険会社によって異なりますが、一般的な補償内容には次のようなものがあります。


〈損害賠償責任〉
訴訟になった場合の費用や、それにより決定した損害賠償金を補償します。

〈事故対応費用〉
原因究明に必要となる費用、記者会見を行う際の費用、被害者に対する見舞金の支払い費用、法律相談費用、コールセンターの設置や再発防止策の策定に関する費用などを補償します。

〈利益損害・営業継続費用〉
デバイスやネット環境が破壊されたことに関する利益損害（喪失利益・収益減少防止費用）や営業継続費用を補償します。


またこれらの補償のほか、事故時の解決サポートサービス等を提供している保険会社もあります。
 

業種や規模を問わず、すべての企業にサイバー攻撃のリスクがあります。完全に防ぐことは難しいからこそ、発生時に備えてサイバー保険への加入を検討してみてはいかがでしょうか。サイバー攻撃への備えに関しては、インシュアランスエスコート部までお気軽にご相談ください。
 
なお、現場のサイバー攻撃のリスクを把握するためには、独立行政法人 情報処理推進機構が提供する「サイバーセキュリティ経営可視化ツール（ https://www.ipa.go.jp/security/economics/checktool.html ）」などを利用してみるのもおすすめです。見えない脅威に対する認識を持ち、できるところから対策を始めましょう。

 

参考サイト
警察庁「サイバー空間をめぐる脅威の情勢等」
https://www.npa.go.jp/publications/statistics/cybersecurity/index.html
 
総務省「令和4年版　我が国におけるサイバーセキュリティの現状」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nd237200.html
 
総務省「安心してインターネットを使うために　国民のためのサイバーセキュリティサイト」
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/intro/intro.html
 
国立研究開発法人情報通信研究機構「NICTER 観測レポート2022 」
https://csl.nict.go.jp/report/NICTER_report_2022.pdf
 
一般社団法人 日本損害保険協会「脅威を増すサイバー攻撃に備えるサイバー保険」
https://www.sonpo.or.jp/cyber-hoken/
 
 
 
※このコラムは、補償の概要を説明したものです。個別の詳しい補償内容については、取扱代理店までお問合わせください。
【取扱代理店】
大和ライフネクスト株式会社　インシュアランスエスコート部
104-0053 東京都中央区晴海1-8-8 晴海アイランドトリトンスクエアオフィスタワーW 棟 14 階
TEL：0120-75-0032（受付時間　平日：午前10 時から午後5 時まで）
https://www.daiwalifenext.co.jp/hoken/contact/manshoncontact.html
 
（2024 年1月承認 B23-201773）


大和ライフネクストでは、法人様向けのサイバー保険に関するご照会も承っております。
下記お問い合わせフォームよりお問い合わせください。


　　　　　　　　　


 


企業向け保険情報メールマガジンをご希望の方はこちらよりご登録ください。