情報セキュリティ対策の見直しが急務!
IT技術の進歩により、あらゆるものがデータ化しオンラインで完結できるようになった現在、
より一層サイバーリスクの増大や攻撃範囲、経路の拡大が懸念され、
これまでのセキュリティ対策の概念を超越した情報セキュリティ対策を考えていく必要があります。
日常に潜むセキュリティリスク
クラウドの利用やテレワークの活用、IoT、工場、RPA・・・様々な領域でのITの活用が進んだことに伴い、攻撃個所や侵入経路も広範囲にわたり、社内外を問わずあらゆる場面に情報漏えいの危険性が潜んでいます。
- フィッシングサイト、改ざんサイト
- シャドーIT
- シャドーIT
- 攻撃メール、偽装メール
- メール誤送信
- 記録媒体や紙文書の紛失や盗難
- 取引先・業務委託先からの情報漏えい
- クラウドストレージの公開設定ミス
- 外部からの不正アクセス
- 退職者による不正持ち出し
フィッシングサイト、改ざんサイト
本物そっくりの偽サイトにアクセスしてしまうことで、アカウント情報が窃取されるフィッシング攻撃が組織や個人の脅威となっています。普段から利用しているサイトが改ざんされる事例も増えており、 通常通りサイトにアクセスすると、サポート詐欺サイトへの誘導画面や偽のアップデートを促す画面が表示され、リンクをクリックすることでマルウェアに感染させるもので、その手法はますます巧妙化しています。
シャドーIT
個人の端末や許可されていないアプリを使って社内や自宅から重要情報のアップロードやチャット投稿をするなど、従業員が企業の管理下にないIT機器やサービスを利用することをシャドーITといいます。シャドーITの利用により情報漏えいやマルウェア感染などのセキュリティインシデントにつながってしまう恐れがあります。また、企業が利用を許可した機器やサービスであっても、適切に利用されているかを把握し、管理することも重要です。
攻撃メール、偽装メール
悪意のある第三者が取引先や業者に成りすました偽装メールを送信し、悪質なサイトへの誘導や添付ファイルを用いてマルウェアに感染させる被害が年々増加しています。受信者に本物のメールであると信じ込ませるため、「送信者情報」が巧みに偽装されており、「送信元情報」からメールの真偽を判断することが困難となっています。
メール誤送信
誤った宛先に送信してしまうことや、BCCにすべき宛先をCCに設定してしまうなどの設定ミスにより、機密情報や顧客情報といった重要情報が外部に漏えいし、そこから悪用されてしまう事例が増えています。誤送信対策ソフトを導入していない企業は導入している企業と比較し、約3倍誤送信の経験があることがわかっており、社内ルールだけに頼らず対策ソフトの導入などで適切な対策を講じることが重要です。
記録媒体や紙文書の紛失や盗難
重要情報が入っているUSBメモリーなどを外出時に紛失したり、盗難被害に遭うことで情報漏えいに繋がる可能性があります。また、USBメモリーを接続して個人情報を持ち出し、外部へ不正に流出させた大規模な情報漏えいインシデントも起っています。
取引先・業務委託先からの情報漏えい
機密情報ファイルを外部にうっかり転送してしまう、USBメモリーを紛失してしまうなど、委託先の過失による情報漏えいが後を絶たず発生しています。近年ではセキュリティ強度が高い大企業や自治体を直接狙うのではなく、対策が比較的甘い取引先を狙う攻撃も増加しています。
クラウドストレージの公開設定ミス
ファイルの外部共有手段としてクラウドサービスの利用が増えていますが、アカウント情報の漏えいや、本来であれば特定のユーザーしか開いてはいけないファイルの共有URLを誤って外部に公開してしまうミスなどにより、情報漏えいの危険性や第三者による窃取のリスクがあります。
外部からの不正アクセス
社内資産や社内で利用しているサービスに対して、ID情報の漏えい等によって第三者に不正にアクセスされてしまうおそれがあります。不正アクセスにより、機密情報の流出や自社Webサイトが改ざんされるなどの被害が多く出ています。
