経済産業省のデータ『サイバーセキュリティ経営ガイドラインVer2.0』によると、約4割もの企業がサイバー攻撃を受けたと回答しています。

巧妙化するサイバー攻撃によるセキュリティ侵害のリスクを回避するためには、企業における対策の強化が必要です。この記事では、セキュリティ侵害の主な種類を踏まえて、企業にもたらすリスクやセキュリティ対策を強化するための方法について解説します。

出典：経済産業省『サイバーセキュリティ経営ガイドラインVer2.0』

セキュリティ侵害による企業リスク

サイバー攻撃によってセキュリティ侵害が発生した場合、企業に深刻なリスクをもたらします。

社会的信用の低下

企業に起こり得る重要なリスクの一つに、社会的信用の低下があげられます。

ウイルス感染による情報窃取、システムへの不正アクセスなどにより、企業の機密情報がひとたび漏洩すると、社会的信用の低下は避けられません。その結果、顧客離れや取引停止、株価下落などの事態を招く可能性もあります。

経済的な損失

個人情報や機密情報の漏洩をめぐる損害賠償請求により、企業が経済的損失をこうむるリスクがあります。ほかにもサイバー攻撃による不正送金によって、企業が資金損失を負うことも考えられます。

また、ビジネス基盤となるサーバやシステムの停止、故障などが発生すれば、事業の継続に影響を及ぼす可能性があります。長期間の事業停止に追い込まれた場合は、復旧作業に伴うコストも発生します。

刑事上の罰則

外部からの攻撃によってセキュリティ侵害が発生した場合でも、企業側に刑事罰が適用されるケースがあります。

企業や組織による情報漏洩が発生すると、国から是正勧告がなされます。これに従わない場合は刑事罰の対象となり、6ヶ月以下の懲役、または30万円以下の罰金刑が科されます。

出典：個人情報保護委員会事務局『個人情報保護法の基本』

組織の脅威となる主なセキュリティ侵害

企業の脅威となるセキュリティ侵害ですが、攻撃手口は年々複雑化かつ巧妙化しています。ここでは、特に影響が大きいと考えられる方法を取り上げます。

標的型攻撃

標的型攻撃とは、特定の企業や組織を狙うサイバー攻撃の一種です。顧客情報や技術情報など、企業が有する機密情報等を窃取することが目的です。

▼標的型攻撃の主な手口

• ウイルスを添付したメールを送りつける
• インストールや更新時を狙ってソフトウェアにウイルスを仕込む
• Webサイトの改ざんによるウイルス感染を狙う

なお、標的型攻撃の手法には、企業関係者のなりすましやシステムの不正操作があります。


■関連記事

ビジネスメール詐欺

ビジネスメール詐欺は標的型攻撃の一種です。業務関連を装い、企業や従業員に送金取引に関する偽のメールを送信して、企業の資金を詐取することが目的です。2020年には、新型コロナウイルスに関連したビジネスメール詐欺も確認されました。

▼主な手口

• 取引先担当者のなりすましによる振り込み口座の変更指示
• 経営者層のなりすましによる送金指示

ランサムウェア

ランサムウェアとは、パソコンやシステムなどをウイルスに感染させ、画面のロックやデータの暗号化によって使用不能にするコンピューターウイルスの一種です。制限解除と引き換えに身代金を要求することが目的です。

▼主な感染経路

• メールに添付されたウイルス付きのファイルを開く
• メール本文中のリンクをクリックする
• Webサイトへアクセスする

特定の企業や組織を狙った標的型攻撃だけでなく、不特定多数を狙った事案も発生しています。

内部漏洩

外部からの攻撃のほかにも、従業員や元従業員といった企業関係者による情報の持ち出し、悪用などの不正行為にも留意しなければなりません。顧客情報や技術情報を漏洩させたり、その情報を外部機関や競合他社に提供したりするケースも見られます。

▼内部漏洩の主なルート

• 退職者による情報漏洩
• 現従業員の情報取扱いルールの不徹底による漏洩

まとめ

企業のセキュリティ侵害は、巧妙化かつ多様化しており、さまざまな手口によって企業に影響を及ぼしています。

サイバー攻撃によってひとたび情報漏洩や情報の悪用が発生すれば、社会的信頼の低下や経済的損失を招き、場合によっては企業存続の危機に陥る可能性もあります。また、外部攻撃だけでなく、内部漏洩のリスクも無視できません。企業のセキュリティ侵害を防ぐには、外部・内部の脅威に対応した対策を講じることが重要です。