お知らせ・コラム
経営者がいま確認しておくべきサイバ-リスク
日本国内のネットワークに向けられたサイバー攻撃関連通信の件数(年間総観測パケット数)は年々増加しています。過去10年間のデータをみると、約241億から約6,197億と25倍以上になっており、今後も増え続けることが予想されます。※出典:国立研究開発法人情報通信研究機構「NICTER観測レポート2023」。改正個人情報保護法によりサイバ-攻撃を受けた場合の報告は既に義務化されています。今回は企業経営者・事業者の皆さまにいま確認していただきたい「サイバ-リスク」についての情報をお届けいたします。
【目次】
1. 危険なメ-ルに注意
2. 腹腔鏡下直腸切除術と抗がん剤治療にかかる医療費の想定事例
3 . 今回のまとめ
危険なメ-ルに注意
サイバ-攻撃が増加しているということは認識していても、いまだに中小企業にはあまり関係がないと捉えられがちだというのが現状です。ニュ-スで取り上げられるのが大企業へのサイバ-攻撃だということも一因なのかもしれません。しかしながら、サイバ-攻撃はピンポイントで大企業を狙っているものだけではありません。企業規模や法人・個人を問わず、日々大量の攻撃が仕掛けられているのです。サイバ-攻撃のひとつであるEmotet(エモテット)の感染も依然拡大し続けています。Emotet(エモテット)とは非常に強い感染力を持つマルウェアで、主要な感染経路は不正メールの添付ファイルです。情報が盗まれるだけでなく、他のウイルスに次々と感染し、甚大な被害をもたらす危険性があります。「正規メールの返信」を偽装する巧妙な手口で攻撃が行われることで被害が拡大しています。
危険なメ-ルを発見するためのポイントをおさらいしておきましょう。
≪怪しいメ-ル・危険なメールの発見ポイント≫
発信者名とアドレスに整合性がない、または企業からのメールなのフリーメ-ルアドレスのドメインとなっているなど違和感がある
不自然な日本語が使われている
「至急ご確認ください」「お早めにご申請ください」といった受取手が焦ってしまうような文言でURLを開かせるように誘導している
PDFのアイコンに見慣れない拡張子※が表示されている
ファイルの種類を識別するためにファイル名の末尾につけられる文字列や(ドット)の後ろの英数字部分
AIG損保「サイバ-リスクの補償(サイバ-リスクの高いメールを発見できますか?)」ちらしより
サイバ-攻撃から企業を守る4つのポイント
ではサイバ-攻撃から企業を守るためポイントをみてみましょう。
法令(個人情報保護法)を順守する
2022年の個人情報保護法改正により、従業員の健康診断結果等のセンシティブ情報や取引先リスクを保有している「個人情報取扱事業者」は個人情報保護法の規制対象となります。一定の漏えい事案が発生した、または発生した恐れがある場合は、個人情報保護委員会に報告し、本人へ通知しなければなりません。⇒改正内容を全ての従業員が理解できているか?
加害者になり得るリスクを知る
先に述べたように、狙われているのは大企業だけではありません。サプライチェ-ン攻撃(標的となる企業に直接攻撃するのではなく、セキュリティの手薄な関連会社や取引先を通じて不正に侵入するサイバー攻撃。取引先等との間でやり取りするメールなどを悪用する)では、大企業ではなくむしろ中小企業こそが狙われています。個人情報を持っていない場合でも、取引先への侵入の踏み台となれば取引停止の可能性もあるため、十分に注意する必要があるのです。⇒下請けや取引先などへのサイバ-攻撃の起点とならないように情報セキュリティに関する社員教育を実施しているか?
技術的なセキュリティ対策を実施する
2022年の1年間で約246億ものパスワード情報等がオンライン上で販売されています(出典:The register)。これは世界人口約80億人の3倍にあたる驚異的な数字です。サイバ-攻撃とセキュリティ対策はいたちごっこであり、100%防ぐことはできませんが、顔認証やワンタイムパスワードなど多要素認証を用いることで、不正アクセスの99.2%超を防ぐことが出来るという調査結果(出典:マイクロソフト)もでています。⇒会社PCやシステムへのアクセスの際には、パスワードに加え顔認証やワンタイムパスワードなど多要素認証を導入しているか?
説明責任を果たすための体制を整備する
サイバー攻撃を受けた際に攻撃を受けたパソコンやサーバなどに残る電子的記録を保全・復元・解析することで原因や情報漏洩の影響範囲を調査するデジタル・フォレンジック調査では、PC1台100万円・サーバ1台300万円もの費用を要するだけでなく、専門会社の数が少なく、一見さんだとお断りされるケースもあります。調査が遅れる事による信用の失墜が深刻なダメージとなる可能性もあるのです。⇒サイバー攻撃を受けた場合にフォレンジック調査機関にすぐに依頼ができる体制が整備されているか?
サイバー攻撃発覚の経路は外部からの指摘・通報が47%と約半分を占めています(出典: 経済産業省、独立行政法人 情報処理推進機構 サイバーセキュリティ経営ガイドラインVer2.0)。サイバ-攻撃には刻一刻と迫る危機に対しミスが許されない即断即決が求められます。上記の4つのポイントをおさえた企業防衛対策を早急に検討していく必要がありそうですね。
今回のまとめ
個人情報を1件でも漏洩させると企業は対応を迫られます。対応を誤ると企業イメージの低下や取引先からの取引停止などにもつながりかねません。高額なデジタル・フォレンジック費用をはじめ、被害者対応などを専門家に相談した場合の費用や謝罪広告費用やお詫び状等の作成に係る費用等だけでなく、損害賠償金や弁護士費用といった費用も発生する可能性があります。すぐに始められるサイバ-リスク対策のひとつが保険を活用するという方法です。サイバ-攻撃に対する初期対応を充実させ、被害を最小限に抑えるためにも保険の活用を検討してみてはいかがでしょうか。
株式会社保険ポイントは損害保険、生命保険を取り扱う保険代理店です。
TEL>052-684-7638
保険加入に関するご相談は、お電話、メールでお気軽にお問合せください。