多様化するサイバー犯罪 グローバルな攻撃から守る日本の砦とは

サイバーリスク

2019.7.17

多様化するサイバー犯罪
グローバルな攻撃から守る日本の砦とは

国内の通販サイトが不正にアクセスを受け、個人情報が漏えいしたことにより、情報漏えいの被害件数は過去最悪のペースで増えているという。ある会社では、わずか数日間で数十万回に上る外部アクセスが発覚、不審に思った担当者が上層部に報告した時にはすでにいくつかの個人情報が盗み見られた後だった。この会社では、ログインを何度か失敗すると自動ロックがかかる仕組みをとっていたが、まんまとすり抜けられてしまった。増加するサイバー犯罪、その攻撃は海外経由の場合も多いが、日本企業はサイバーリスクと戦う砦をどのように築けばよいのか。

平成30年にネットワークに接続されたコンピューター(特定電子計算機)への不正アクセス行為の認知件数は1486件であり、そのほとんどが一般企業に対するものだった。認知された不正アクセス後の行為を見ると、メールの盗み見など情報の不正入手が25.9%。次いで、インターネットバンキングでの不正送金が22.2%。だが、この数字は事業者からの通報や、警視庁のパトロールにより発覚した件数にすぎず、実際はもっと多い可能性もある。

前出の会社のように、侵入が発覚した時にはすでに手遅れという場合も多い。日本企業のサイバーリスクに対するセキュリティ対策はデジタル化にあわせた改善の余地があると言われている。MS&ADインターリスク総研が行った調査では、サイバーセキュリティ体制を構築していない企業が過半数にものぼることが明らかになっている。「何から手をつけていいのか分からない・・・」これが日本企業、特に中小企業の現実であろう。

多種多様な手口に対抗するワンストップのサービス

セキュリティ対策が遅れる原因には、対応すべき脅威が多岐にわたっていることもあるだろう。「標的型攻撃・フィッシングメール」、「水飲み場型攻撃」、「不正アクセス」、「脆弱性の悪用」、「DDos攻撃」、「ランサムウェア」など、昨今話題となっている外部からのサイバー攻撃だけでもこれだけのものが存在する。加えて悪意のある内部者による犯行や、内部者の過失的漏えいなど、数え上げたらきりがない。

手口が多様かつ巧妙化している現状では、企業側も守備範囲を広く持ち攻撃をブロックする体制を持つことが望ましいが、これには高度な技術を有する専門集団が不可欠となる。MS&ADインシュアランスグループでは、こうしたサイバー脅威に対する企業からの相談に対して、サイバーリスクの体制構築をワンストップで支援するプラットフォームをつくりあげている。

丁寧なコンサルティングで守りを強化

支援のステップは、 ①組織体制整備、②リスクアセスメント、③防御・対策の三つ。最初のステップとなる「組織体制整備」では、既存の情報管理ポリシー・ルールを掌握、精査し、ヒアリングによって運用実態の問題点を把握し、平常時の体制強化や情報漏えい発生時の体制整備、インシデント対応体制構築などを実施する。このような組織体制整備によりサイバーセキュリティのPDCAサイクルを回すことが可能となることから、組織体制整備はサイバー犯罪から会社を守る最初の砦と言ってもいい。

二つ目の「リスクアセスメント」では、ベライゾンジャパン合同会社、ビットサイト・テクノロジーズ社と協同でサイバーリスクの状況を多面的に評価、「内部リスク」と「外部リスク」双方のセキュリティ対策状況を評価するレポート作成も実施している。これらのアセスメントを実施することで、「重要で緊急性の高い課題の洗い出し」と「その他リスクの整理」を支援している。また顧客の「サイバーセキュリティ対策を第三者視点で評価」することで、すでに実施している対策内容の「見える化」の支援も出来ていると言える。

三つ目の「防御・対策」では、サイバー攻撃者が有する最新の情報を常に把握し顧客に情報提供することで脅威の掌握を捕捉するレポートをイスラエルのIntSights社との協業により提供しているほか、機械学習を用いた次世代エンドポイントセキュリティ製品「Cylance PROTECT」をNECと協業し、提供している。このようなソリューション・サービスを通じて、重要な課題および効果を意識した対策の実現を支援する。

  • ※ダークウェブと呼ばれる、専用ツールを使いアクセスする、サイバー犯罪者が利用しているサイバー空間から得られる情報を含む

万が一のための保険も充実

しかしながら、どれだけ対策を講じても未然に防止できるとは言い切れないのがサイバー犯罪の現状だ。サイバー攻撃に遭遇した場合に備えて、賠償責任および必要な復旧作業や謝罪に要する費用などを補償する保険商品の提供もはじまっている。MS&ADインシュアランスグループは、サイバー攻撃に対する防御体制づくりと万が一の場合の補償という二つの砦で、世界中から降りかかるサイバーリスクから企業を守る取り組みを進めている。

サイバープロテクター(三井住友海上)
サイバーセキュリティ保険(あいおいニッセイ同和損保)

MS&ADグループ連携態勢「サイバーセキュリティ・MS&ADプラットフォーム」

MS&ADグループ連携態勢「サイバーセキュリティ・MS&ADプラットホーム」

参考文献
不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
(平成31年3月22日国家公安委員会、総務大臣、経済産業大臣より公表)

MS&ADグループのニュースリリースや
IRニュース等をメールでお知らせいたします。

メール配信のご登録