グッドリンク
情報セキュリティのリスクについて

今回は、身近に迫っていると感じる情報セキュリティ対策の必要性についてまとめてみました。
会社の自分宛にも時々届くメール 例えば、宛名も差出人名も無い状態で、発注書という
添付ファイルが付いて届いたり、購入した記憶の無い特定のインターネット販売の会社から、
今月の請求分というメールが届いたりしています。
これらは、標的型攻撃メールやスパムメールと言われています。
個人情報保護法の関連でいいますと、平成29年5月30日の改正により個人情報の取扱い件数に関わらず、中小企業でも守らなければいけない法律となりました。
これにより、基本的に全ての事業者は取扱う個人データの漏えい、滅失、き損その他の個人データの安全管理のために必要且つ適切な措置を講じなければならない状況になっています。
もし、扱う個人情報に関する事故が発生してしまうと、ことの大小は別として、会社評価等の信用の失墜や二次被害の発生、取引の停止、業務への支障などによる社員のモチベーションの低下や人的・物理的損失が発生することになります。
また高額ではありませんが、最悪の場合によっては30万円~50万円の罰金が発生するケースもありえます。
情報が漏えいする原因としては、
・過失行為によるもの
・故意に従業員等が行ってしまうもの
・不正アクセスやウイルスによるもの
・あるいは委託先や下請け先からの流出 等 が上げられます。
2016年日本ネットワークセキュリティ協会のデータによれば、 468件で想定損害額としては2788億円の漏えい事故が起きていますが、中でもインターネット・電子メールを経由した割合が 37%と2年前に比べ3倍以上の比率になっています。
また、原因もサイバー攻撃によるものが17%と2年前の3%から激増しており、漏えい人数ベースでは全体の84%がサイバー攻撃によるものとなってしまっています。
先にあげた、標的型攻撃メールはその一つであり、メールに添付されたファイルやウエブサイトへの誘導を通じてウイルスを感染させ最終的に重要な情報を搾取することを目的とする攻撃です。 皆さんも、メールを見ていておや?っと思われたことが無いでしょうか?
無差別的に配布されるスパム型の攻撃メールとは異なり、対象の企業や個人に特有の情報を積極的に利用する事で警戒をそらします。
銀行のフィッシングサイトなどへの誘導もその一つです。
巧妙にメールアドレスやパスワードの変更について銀行を偽って指示し、そのデータを抜き取ってしまう手口です。
警察庁の「平成29年度サイバー空間をめぐる脅威の情勢について」によれば、この攻撃型メールは2013年には500件程度だったものが、2017年には6,000件へと4年間で12倍に増加しています。
他に、ランサムウエアという不正ソフトを流す専門的な攻撃もあります。これらに感染すると、PCがアクセスできないよう制御されてしまい、攻撃者はアクセス制限や暗号を解除するために、お金を支払うよう要求してきます。(身代金=ransom)
これらの被害も、トレンドマイクロ社の調査によれば2016年には約2,350件と1年間前の被害が650件程度から急増しています。 この被害では、63%の企業がお金を支払っています。
こういった現状に対して、まず最低限という意味で各PCにウイルス対策ソフトの導入や会社へのサーバーと外部との接続部にセキュリティを施すということが考えられます。
・それ以外にOSやソフトウエアを最新の状態にしておく
・脅威や攻撃の手口を知り、各人は安易に不明のメールやソフトに手を付けない注意をする
そして、情報漏えい事故が起きた場合には、対外的な賠償問題や原因究明や被害拡大の防止コンサルティングあるいは対外的な広報対応等を行う為のコンサルティング等を提供する事業者専用の保険もあります。
皆様のリスクカバーの為に、このテーマに関心がおありの方は、お問合せ下さい。