Webサイトの安全確認を3ステップで SiteLock

経営者の視点から見たセキュリティー犯罪に対する今後の戦略


はじめに

近年サイバー攻撃はかつてないほど巧妙化かつ悪質化し、企業にとって大きな脅威となっています。サイバー攻撃によるWebサイトなどの停止、また顧客情報の漏洩は企業活動の一時的な停止にとどまらず、顧客からの信用の喪失、企業自体の大幅なイメージダウンにつながるケースも多くなっています。それだけでなく、事例によっては訴訟案件となり巨額の賠償金の支払いにつながることもあります。

では、こういったセキュリティー上の脅威に対して、企業は組織としてどのように対策し、資産を守っていけば良いのでしょうか。

2016年から2017年上半期にかけた新たなサイバー攻撃の特長(経営側の視点で)

サイバー攻撃の脅威に対応していくためには、現在どういったものが脅威になっているのかを知る必要があります。

ここでは、直近の1年間に行われたサイバー攻撃の特徴について見ていきましょう。独立行政法人 情報処理推進機構(IPA)のレポートによると、会社等の組織に対するサイバー攻撃・セキュリティー犯罪は以下のような傾向があります。

  1. 標的型攻撃による情報流出
  2. ランサムウェアによる被害
  3. ウェブサービスからの個人情報の窃取
  4. サービス妨害攻撃によるサービスの停止
  5. 内部不正による情報漏えいとそれに伴う業務停止

また、大手セキュリティベンダーであるトレンドマイクロが発表した「2016年国内サイバー犯罪動向」では、以下の内容が取り上げられています。

1)ランサムウェア

2016年の1月〜12月までのランサムウェアの国内被害件数は、前年比で約3.4倍の2690件となっています。ランサムウェア感染を誘導するマルウェアスパムなども非常に増えており、日本語のものも見られるようになっています。

2)オンライン銀行詐欺ツール

ネットバンキングの利用者は、今やある統計では62%と半数を超える結果も出ているほど活用が進んでいます。こういった中、オンライン銀行詐欺ツールの被害も昨年の被害は一昨年の約3.4倍の98000台と非常に増えています。被害額も昨年上半期だけで8億9800万円と大きなものになっています。

このように金銭の支払い要求がされたり、不正に詐欺行為がなされるなどの悪質で金品の要求がなされるサイバー犯罪が増えているのが直近の特徴となっています。

実際の被害事例にはどんなものがある?

では、実際にサイバー攻撃の被害事例にはどういったものがあるのでしょうか。インターネット上の脅威は企業のサービス停止や、場合によっては訴訟などの大きな問題になるケースもあります。こういった事例は発生しているのでしょうか。

<事例1:ランサムウェアWannaCryptによる被害>

今年の5月に世界を震撼させたWanna Cryptは、感染するとパソコン内のデータを読めなくしてしまい、身代金(ランサム)を支払わない限り、復活できないというものでした。 英国のNHS(国民保健サービス)の感染では複数の医療機関でサービスが停止、フランスのルノーや米国のFedExなど世界的な企業も被害を受け、その損害は計り知れないものとなりました。

<事例2:バングラデシュ中央銀行に対する攻撃事例>

2016年2月に発生した事例で、バングラデシュ中央銀行がハッカーによる不正アクセスを受けて、外部に不正送金を行ってしまったものです。この事例ではハッカーは総額9億5000万ドル近くを狙っていた可能性があり、ほとんどの試みは防ぐことが出来ました。しかし、結果的に約8100万ドル(92億円)は奪われたままになっています。この事例の原因は銀行側のセキュリティー対策の不備にあると言われています。

<事例3:オンライン銀行詐欺ツールによる被害拡大>

オンライン詐欺ツールの被害は昨年から約3.4倍の98000台に増えています。ちなみに昨年上半期のオンライン詐欺の実績では被害件数が857件、被害総額が約8億9800万円となっています。一昨年と比べると被害額は少し落ち着いていますが、発生件数は急激に増えています。これは大企業などの組織を狙って多額の詐欺をはたらく犯罪から、より多くのターゲットに対して幅広く詐欺行為を行うという方針に変わってきていることが見て取れるのではないでしょうか。

このように、特に直近のサイバー犯罪の特徴としては、多額の金銭が関係するものが多くなっています。そのため、犯罪の被害にあうことによって損害が大きくなる傾向があります。

新たな脅威に対して、新たに必要な対策と変わらずに必要な対策

今までは考えられなかったような、精緻かつ悪質化した攻撃に対して企業組織は以下のようなリスクにさらされています。

  • 情報漏洩や流出とそれに起因する悪用
  • セキュリティー事故による顧客信用度、ブランドイメージの低下
  • 訴訟事例の発生に伴う企業体力の低下
  • サイバー攻撃等による事業サービスの中断や停止

このように単に脅威によって企業内の情報が破壊されたり、外部に流出したりといった一次的な被害にとどまらず、そのことによって取引先からの信用を失うことになったり、消費者イメージの悪化などの事態に繋がるケースも多くなっています。

また、個人情報の流出などによって巨額の損害賠償請求などの訴訟に発展するなどの事態になると企業の体力を奪われることにつながり、最悪の場合は経営の存続に影響する事態につながりかねません。

  • セキュリティー対策ソフトウェアの導入と定義ファイルの最新化
  • ソフトウェア更新プログラムの適用
  • 不審なメールの取り扱いの徹底
  • 不審なWebサイトは開かない

さらに、現在の巧妙化かつ悪質化する脅威を踏まえて、とくに外部からのアクセスを直接受けるWebサイトには次のような対策を追加で行う必要があります。

  • マルウェア駆除、改ざん防止などWebサイトに対する防御
  • Webサイトの脆弱性診断と適切な対策

こういったことを組織として進めていくためには高度な専門知識・技術を持った人材が欠かせません。しかし、彼らの人件費は間違いなく高くなりますし、それに二の足を踏むという企業も多いでしょう。

そこで、この問題を低コストで解決するために有効に使えるのが、今回提案する「SiteLock」です。「SiteLock」はクラウドベースの統合型セキュリティー対策サービスで、以下のような特徴を持っています。

  • WebサイトやWordPressの脆弱性のチェックができる
  • マルウェアや不正なコードの検知と駆除ができる
  • Webサイトの改ざんチェックができる

この「SiteLock」のメリットは「低コストで高度なセキュリティー対策が実現できる」、「クラウドベースなので、自社でメンテナンスする必要がない」ことです。したがって、新たに専門のエンジニアなどを雇用する必要もありません。しかし、導入することで、あたかも専門のエンジニアが関わったかのようなセキュリティー対策を実施し、問題の発生の防止に繋げることができます。

この「SiteLock」は一部上場企業のグループ会社でも採用事例があるなど、採用例が広がっていることは、このサービスが信頼できる有効なものであるということを示しています。

セキュリティー犯罪に対する今後の戦略

セキュリティー事故はひとたび引き起こされてしまうと取り返しのつかない大きな問題になってしまいます。顧客からの信用の失墜、企業イメージの低下や訴訟ごとにならないためにも被害を未然に防止することがとても重要です。

ここまで紹介したような対策を強力に進める中で、企業として経営側として大切なことは以下の3つです。

1.経営者がセキュリティー投資の必要性を認識する

経営者がサイバー攻撃のリスクを理解し、セキュリティー関連投資を積極的に行って企業資産を守ることが自らの責務であるという認識を持つこと。

2.取引先等を含めたセキュリティー対策を実施

取引先やグループ会社から自社の重要な情報が流出するケースもあります。他社からとは言え、そういう事態になると大きな損害になります。これらを含めた包括的な対策が必須です。

3.平常時・発生時の体制の明確化とコミュニケーション

多くの企業で既に行われているものですが、セキュリティー関連の事案についてはしっかりとした体制で迅速に対応することが重要です。経営層主導で「情報セキュリティー基本指針」などを策定した上で、社内の体制を確立し、日頃からの連絡を密にしておく、課題を共有することが大切です。

今後、企業がセキュリティー犯罪の脅威に対抗していくためには全社一丸となって取り組む必要があります。そのためには経営者は、現場を知り専門的な技術を有するエンジニアの提言をしっかりと聞き、自らが重要なこととして取り組むべきであるとの認識を新たにする必要があります。ITは、ただ業務をこなすだけのツールではなく、攻めの事業を展開するための武器にもなります。しかし、そのためにはセキュリティー対策を万全にして、武器が使える状態を維持しておくことが大切です。


参考:情報セキュリティ10大脅威 2017:独立行政法人 情報処理推進機構
トレンドマイクロ、「2016年国内サイバー犯罪動向」速報版を発表:トレンドマイクロ
平成28年上半期におけるインターネットバンキングに係る不正送金事犯の発生状況等について:警察庁
日常における情報セキュリティ対策:独立行政法人 情報処理推進機構
SiteLock


執筆者プロフィール

早坂浩充
1974年生まれの43歳。首都圏、京阪神でサーバーエンジニアとして15年程度業務に従事してきた。現在は、社内システム部門の取りまとめ役として様々なIT関連の事柄の解決やIT戦略の立案などに日々取り組んでいる。

SiteLockのプラン・料金を調べる