サイバー攻撃と内部不正対策へのアプローチ

サイバー攻撃の潮流は、大量かつ速攻的なシステムダウンを狙った攻撃から、静寂型攻撃へと変化してきている。企業は、さまざまな攻撃から予見されるインシデントを検知できるよう多重・多層の対策を行う必要があるとともに、より巧妙になりつつある内部不正に対してセキュリティ対策の向上に努めるべきである。

最近のインシデント事例

初めに昨今のサイバー攻撃を中心としたインシデント事例を示す。サイバー攻撃は大きく二つに分類でき、一つは政治的な主張を持つ攻撃であり、もう一つは情報窃取を目的に実行される攻撃である。サイバー攻撃の事例から学ぶことはインシデント対策を十分に講じている組織でも発生していることである。例えば、2015年7月に発生した米人事管理局がサイバー攻撃を受けた事件では、攻撃の糸口を作る目的で敷地内の駐車場に特殊なマルウェアを仕込んだUSBメモリを落とし、スタッフが中身を確認した際に施設内のシステムに感染させるという手口が使われた。その後サーバのIDが乗っ取られ、職員の個人情報が大量に流出した。

米国の元FBI長官のRobert S. Mueller氏によると、企業は2種類に分けられるという。一つは、すでに何らかの攻撃を受け情報を搾取されている企業と、もう一つは今後攻撃を受ける企業である。また、攻撃を受けた企業は再度、継続的に攻撃を受けると発言している。

2014年10月の米金融大手J.P. Morgan社による8,300万件の顧客情報流出のインシデントではセキュリティに対する対策費として300億円を投資したといわれている。

さらにインシデント事例の特徴として、2015年度のIPA（独立行政法人 情報処理推進機構）による10大脅威では、内部不正による情報漏洩が、標的型による攻撃の3位を抜き、2位にランクインしている。2014年のベネッセ事件などのような内部不正による情報漏洩はサイバー攻撃と合わせ企業の課題となっている。