お知らせ・コラム
サイバ-被害と人的要因とは
IoTの進展やキャッシュレス化、自動運転の普及やテレワ-ク・WEB会議の浸透といった企業を取り巻く環境の変化に加えてサイバ-テロが増加している中、少しずつではありますが、サイバ-リスクに対する意識が個人・企業ともに高まってきているのではないでしょうか?今回はサイバ-リスクを企業としてどのように捉え、対策を講じていくのかについて人的要因の観点でみてみましょう。
【目次】
1.サイバ-リスクと被害要因
2.企業防衛のために取り組むべきこと
3.今回のまとめ
サイバ-リスクと被害要因
まずはサイバ-攻撃とその脅威についておさらいしたいと思います。
◆標的型メール攻撃
メ-ルやWEB等で特定の企業をウイルスに感染させ、機密情報の搾取やシステム・設備の破壊・停止を行う攻撃。標的型攻撃は長期間継続して行われることが多いという特徴がある。
◆ばらまき型メール攻撃
メールやweb等で不特定多数の企業のPCをウイルスに感染させ、機密情報の窃取やシステム・整備の破壊・停止を行う攻撃。
◆ビジネスメ-ル詐欺
取引先との請求書の偽装など巧妙な偽メールを企業に送り付けて従業員を騙し、攻撃者の口座に送金させる行為。その準備行為として、従業員の個人情報等の詐取が行われることもある。
◆ランサムウェア
企業のファイルサーバやPC等のファイルを暗号化し、その解除と引き換えに金銭(身代金)を要求する不正プログラム。
◆DDos攻撃
攻撃対象のサーバに対して同時に大量のパケットを送信することで、サーバの処理能力を飽和させたり、ネットワーク帯域を枯渇させたりし、使用不能にする攻撃。
◆ソフトウェアの脆弱性
脆弱性が存在するwebサーバなどに対して、ウイルスを感染させる攻撃。情報窃取や機器破壊等の被害がある。
※一般社団法人日本損害保険協会「多様化するリスクとサイバ-攻撃」より
サイバ-リスクに関する情報は記事やコラムでも数多く取り上げられていますが、人為的ミスがサイバ-事故とそれによる金銭的損失の主な原因であり、全セキュリティ侵害の殆んどを占めているとも言われています。
人的要因は、不適切なセキュリティカルチャーや人間の行動や善意の悪用と関係しています。人間が職場でどのように行動し、悪意のある行為者がどのように人間の特性を利用しようとしているかを理解することによって、人間の誤りやすさの領域を特定し対処することが可能になります。
では、どのような「人」がどのようにサイバ-攻撃を受けてしまうのでしょうか?
標的型攻撃では、重要な情報を保持する傾向があること、およびそのようなデータにアクセスする可能性が高い傾向があることにより、上級管理職や中間管理職が下級管理職よりもサイバー犯罪者にターゲットにされる可能性が高くなっています。
ビジネスメ-ル詐欺は海外では主流となっており、日本国内でも被害が出ています。経営者や従業員だけでなく、取引先やサポートスタッフのふりをするなどの巧妙な準備を行い、専門家の目から見ても合法的に見える電子メールを作成し、支払いの送信に責任のある個人を標的にすることが多く、大きな被害につながる可能性があります。
また、コロナ禍でのリモートワ-クにおいては、セキュリティの低い個人用デバイスに頼らざるを得ない場合も多く、在宅や隔離によるストレスによってもサイバ-攻撃を受けやすくなるため、フィッシングE メールのリンクをうっかりクリックしてしまう可能性もあります。
さらに、モバイル端末はデスクトップよりもフィッシングやソーシャルメディア攻撃やなりすまし(正規のウェブページを模倣しようとする)の影響を受けやすいといわれています。個人で使用しているスマートフォンやタブレットにおいてもリスクが潜んでいるため、私たちは常にサイバ-攻撃の標的になっていると言えます。
企業防衛のために取り組むべきこと
サイバー犯罪は、恐喝・詐欺といった犯罪の進化形です。活動の規模は拡大しておりますが、詐欺や操作には同じような手法が用いられています。ミスを0にすることは不可能ですが、個人の意識とそれを向上させるための企業の取り組みによって抑制することは可能です。実際には個人、企業、それを取り巻く環境全てにおいてのセキュリティに対する知識・認識不足が人をターゲットにした攻撃を助長しているにも関わらず、ヒューマンエラーと一括りにしてしまえば「サイバー攻撃の責任は人にある」ことになってしまいます。
サイバーの脅威が続く中、企業はヒューマンエラーという言葉を捨てて従業員のセキュリティを強化する方法を検討する必要があるのです。
サイバ-セキュリティ意識が低くなっているのは以下のような理由が考えられます。
◆理由1 : 安全でない接続のリスクよりも接続する必要性を優先する
◆理由2 : 人々が「 同意する」 ボタンと警告メッセージに慣れてしまった
◆理由3 : セキュリティよりも便利さを優先してしまう
◆理由4 : 知覚される利益がない=自身の行動がセキュリティに影響を与えない、という思い込み
◆理由5 : 知識とスキルの不足
◆理由6 : オンラインで他のことに気を取られて安全に行動することを忘れてしまう
現在のサイバ-攻撃は、より的を絞ったものになりつつあり十分なアクセス権と特権を持つ人々をターゲットにする傾向があるだけでなく、在宅勤務が増加している中でこれまで以上に悪意のある人物による攻撃に対して脆弱になっています。
サイバーの人的要因に企業として対処するには、
- インシデント対応機能
- ネットワークセキュリティの原則
- セキュリティ意識向上トレーニング
- 率先的なセキュリティテスト
- パッチ管理プログラム • 安全なデータバックアップ
といった日常的な小さな行動を継続し続けることが必要です。
ヒューマンエラーというキャッチフレーズを超えて、直面している重大な脆弱性を企業が理解し対処するためには、従業員個人とビジネスを安全に保つために必要な知識とスキルを備える責任があると捉えて、技術と行動の両方のレベルで脅威に取り組み、企業全体で協力する必要があると言えるのではないでしょうか。
※参考資料
AIG損害保険株式会社発行ホワイトペ-パ-「ヒトサイバ-リスク-防御の第一線」
今回のまとめ
サイバー犯罪者はよりソフトな標的に向かって人間の行動や脳の働きを利用した攻撃を実行している、といわれています。私たちひとりひとりが常にサイバ-リスクを意識して行動することはもちろんですが、企業としての備えも必要です。サイバ-攻撃に対応可能な保険商品は損害保険会社で取り扱っております。気になる方はお近くの保険代理店までお気軽にお問い合わせくださいませ。
損害保険のご相談は株式会社保険ポイントへお任せください。弊社リスクコンサルタントがわかりやすく丁寧にご案内致します。
TEL>052-684-7638
お電話、メールどちらでもお待ちしております。