- Column
- 大和敏彦のデジタル未来予測
DXの“壁”となるセキュリティ脅威の増大【第39回】
セキュリティ脅威が増えている。盗んだ情報を基に相手を脅すサイバー攻撃の被害を受けた企業数は、全世界で2020年1月から10月に1000社を超えたといわれる。日本でもカプコンが「RAGNAR LOCKER」を名乗るサイバー犯罪集団に機密データを盗まれ「身代金」を要求されるなど大きなニュースになった。デジタルトランスフォーメーション(DX)への取り組みが不可避になる中で増大するセキュリティ脅威と対策を考えてみたい。
各種ゲーム大手のカプコンは2020年11月16日、第3者からのオーダーメイド型ランサムウェア(身代金要求型ウイルス)による不正アクセスにより被害が出たと発表した。具体的には、個人情報などの機密データを盗まれ、そのデータの暴露をやめる見返りとして「RAGNAR LOCKER」を名乗るサイバー犯罪集団から「身代金」を要求された。
ほかにも、三菱電機における取引先情報や個人事業主の名前といった個人情報流出や、NECやホンダなどへのサイバー攻撃が明らかになり、大きなニュースになった。
GDPRはデータの安全措置と情報漏洩の通知を義務化
サイバー攻撃による情報漏洩は、情報の悪用や、漏洩の補償、サイバー犯罪集団からの金銭要求だけでなく、経営やビジネスに大きな影響を与える。機密情報や個人情報などの重要な顧客情報の漏洩、サイバー攻撃によるサービスの停止などがあれば、その影響は、自社だけでなく、取引会社や、その企業が属するサプライチェーン、および顧客にまで及ぶだけに、顧客や取引先からの信用喪失にもつながるからだ。
それほど、自社の情報を守ることは重要である。EU(欧州連合)のGDPR(General Data Protection Regulation:一般データ保護規則)では、データの安全性に関して、処理・保管に関する安全措置の義務と情報漏洩の通知義務などを定めており、セキュリティリスクへの対策は、デジタルトランスフォーメーション(DX)を進めるうえでの前提になる。
DXに取り組みによりデジタル化を進めても、サービスやデータの安全性に対して適切なセキュリティ対策を取らなければ、情報漏洩やサイバー攻撃の対象になるリスクは高まる。問題が起きれば、そのデジタル化自体がマイナス要因として、とらえられかねない。
セキュリティ脅威の動向を、情報処理推進機構(IPA)が発表している『セキュリティ10大脅威』から見てみたい(表1)。
| 1 | 標的型攻撃による被害 |
|---|---|
| 2 | ビジネスメール詐欺による被害 |
| 3 | ランサムウェアによる被害 |
| 4 | サプライチェーンの弱点を悪用した攻撃の高まり |
| 5 | 内部不正による情報漏洩 |
| 6 | サービス妨害攻撃によるサービスの停止 |
| 7 | インターネットサービスからの個人情報の窃盗 |
| 8 | IoT機器の脆弱性の顕在化 |
| 9 | 脆弱性情報の公開に伴う悪用増加 |
| 10 | 不注意による情報漏洩 |
特に標的型攻撃、ランサムウェア、IoT(Internet of Things:モノのインターネット)機器の脆弱性など、増大している脅威を詳しく見てみよう。