2021/12/02
非IT部門も知っておきたいサイバー攻撃の最新動向と企業の経営リスク
影響を最小化するためには
9月に米NIST(国立標準技術研究所)がランサムウェアリスク管理のためのサイバーセキュリティフレームワーク・プロファイルのドラフトを公表した。*6 このドラフトにおいても、”ソーシャルエンジニアリングについて従業員を教育する”といった取り組みの必要性が記されている。
例えば、正規の組織がメールなどを介して個人情報を求めてはこないということを知ることは重要なことである。日本であれば、内閣府がメールでマイナンバーを尋ねることは無いといったところだろうか。これ以外にも判断が曖昧な組織や情報の種別などは多くあるので、これらを明確にすることは有効な手立ての一つであると考えられる。
また、どれだけ注意深く警戒していたとしても、誤って悪意のあるリンクをクリックしてしまったり、悪意のある添付ファイルをダウンロードしてしまったりということは常に起こり得る可能性がある。
そこで、これらの状況に陥った場合に影響を最小化するためには、どのような方法があるのだろうか?
フィッシング詐欺やソーシャルエンジニアリングなどでしばしば窃取されているのは、ログインのためのIDやパスワードなどの資格情報である。そのため、窃取された情報のみでのアクセスを困難にするための手段として多要素認証(MFA)の導入が多くの場面で推奨されている。
実際、マイクロソフト社などはMFAを使用することを顧客にアドバイスすると共に、再販パートナーには使用することを要件として求めている。サイバー保険への加入などにおいても、しばしMFAの使用を尋ねられる。
未然に気付くことができたなら
以前であればフィッシング詐欺の文面も不自然な文面であることが多かったので、比較的気付きやすいものではあったが、最近では違和感の無いものとなっていることが多い。さらに、特定の個人に向けて文面を作成した、より巧妙な手口も目立ってきている。そのため、要求に応じる前に一呼吸おくことが重要である。
もし疑わしいメールなどに気付いたら、自社の適切な担当者に報告することをお勧めする。このような対応は組織によって必須で求めている場合もあるが、フィッシングなどが仕掛けられる場合、同僚も狙われていて同じようなメッセージを受け取っていることも多いためだ。
そのためにも、疑わしいメールに気付いた時だけでなく、万が一悪意のあるリンクを開いてしまった時でも、迅速に報告できるような風通しの良さと、誰に報告すべきかといったことを明確にしておくことが重要である。
GDPR(EU一般データ保護規則)などでも、データ保護のための施策として「技術的対応」と「組織的対応」の重要性について再三述べている。
つまり、サイバーリスクとは技術的な脆弱性にとどまらず、人的要因によってもたらされることも多々あるのだ。
今一度、人的な面からの組織における対応についても見直される機会とされたい。
出典
*1 https://www.voipfonestatus.co.uk/
*2 https://www.willistowerswatson.com/ja-JP/Insights/2021/08/crb-nl-august-adachi
*3 https://www.willistowerswatson.com/ja-JP/Insights/2021/06/crb-nl-june-adachi
*4 https://www.europol.europa.eu/newsroom/news/150-arrested-in-dark-web-drug-bust
-police-seize-%E2%82%AC26-million
*5 https://www.bloomberg.com/news/articles/2021-10-18/crypto-fraud-costs-more-than-
200-million-this-year-u-k-police
*6 https://nvlpubs.nist.gov/nistpubs/ir/2021/NIST.IR.8374-draft.pdf
本連載執筆担当:ウイリス・タワーズワトソン Cyber Security Advisor, Corporate Risk and Broking 足立 照嘉
非IT部門も知っておきたいサイバー攻撃の最新動向と企業の経営リスクの他の記事
おすすめ記事
-
医療機能の維持を可能にした徹底的なハード対策非常時の代替ライフラインはチェック表で管理
元日の能登半島地震で激震に襲われた恵寿総合病院では、地震後も業務を止めることなく、充実した医療を提供し続けた。10年をかけて整備してきた、徹底的なハードとソフト対策のおかげだった。
2024/05/20
-
目まぐるしい状況変化 懸命に向き合った3カ月
市立輪島病院は能登半島地震で被災しながらも、懸命の処置により、運び込まれる負傷者や感染症に苦しむ患者の命をつなぎました。超急性期・急性期を乗り切ると医療需要は急減し、代わって介護機能の維持が深刻な課題に浮上。発災から介護医療院開設までの約4カ月、病院で何が起きたのかを同院事務部長の河﨑国幸氏に聞きました。
2024/05/20
-
-
リスク対策.com編集長が斬る!【2024年5月14日配信アーカイブ】
【5月14日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:行動指針の意義
2024/05/14
-
-
情報セキュリティーは個人のリスク目線では通用しない
学生時代からパソコンを使いこなしてきた人が新入社員に多くいる昨今ですが、当然、個人と会社ではセキュリティーの重心が違います。また、人事異動で新たに着任した社員も、業務が変われば情報資産との関わり方が変わり、以前と同じ意識でのぞめばよいとは限りません。新年度にあたり、情報セキュリティーのルールは特に徹底したいところです。
2024/05/10
-
-
サイバーインシデント対応の基本知識と準備
本勉強会では、一般的な情報セキュリティインシデントとサイバーインシデントの違いや、その初動対応について事前に準備すべきことと合わせて、自社で手軽に訓練・演習を実施するためのポイントを解説します。2024年5月8日開催。
2024/05/09
-
-
炎上の原因はSNS上の振る舞いのみにあらず
新年度から仲間に加わった新入社員は「デジタルネイティブ」と呼ばれ、友人とSNS で交流するのがあたり前の世代です。が、学生時代と違い、社会人になれば取り巻く環境が変わり、自身の立場も変わる。うかつな投稿が「炎上」につながるケースは少なくありません。新人研修のテーマにSNSリスクを組み込むなどして教育を徹底したいところです。
2024/05/08
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方