この数字が何を意味するものかご存知でしょうか？
ある企業が運営するWebサイトにおいて、不正アクセスの被害が発覚し、一時停止から再開までに要した日数です。調査の結果、幸いにも、同企業やWebサイトの利用者への被害は確認されませんでしたが、初動対応や調査、復旧・再発防止にかけた時間とコスト、Webページが停止していた間の機会損失は、決して少なくないことでしょう。

情報漏洩インシデントにおける対応フローの一例

不正アクセスの件数が急増

総務省の発表によると、2019年の不正アクセスの認知件数は2,960件で、前年の1,486件と比較して2倍以上に急増しています。本年5月には、婚活マッチングアプリを運営する事業者が不正アクセスを受け、運転免許証の画像などを含む、最大で約171万件分の個人情報が流出した可能性が高いことが発覚しました。

不正アクセスをされると、Webサイトの改ざんやクラッキング、システムダウンや暗号化、機密情報の流出、サイバー攻撃の踏み台に利用されるなど、深刻な二次被害を引き起こします。また、このようなサイバー攻撃による被害は、業務の停止や金銭の支払いなどの直接的な被害に留まりません。

上記の表のように、初動対応から事後対応に伴う社内リソースの逼迫、サービスの長期停止や社会的信用の低下による売上減少など、様々な損失を誘引し、最悪の場合には、倒産など、取返しのつかない被害に発展するリスクを孕んでいます。

ランサムウェア　驚異の被害金額

近年、サイバー攻撃用のソフトウェアをサブスクリプション形式で簡易に提供する闇ビジネスが拡大しており、特に企業のシステムやデータを暗号化し、身代金を要求する「ランサムウェア」による攻撃が、世界で急増しています。2020年における企業へ身代金を要求する攻撃の件数は、前年比6割増の約3億件、身代金の平均支払額は、前年比2.7倍の31.2万ドルに達しました。

情報処理推進機構（IPA）が発行する「情報セキュリティ10大脅威 2021」においても、「ランサムウェア」による被害が1位にランクインするなど、国内においても深刻な脅威として認識されています。

順位	「組織」向け脅威
1	ランサムウェアによる被害
2	標的型攻撃による機密情報の搾取
3	テレワーク等のニューノーマルな働き方を狙った攻撃
4	サプライチェーンの弱点を悪用した攻撃
5	ビジネスメール詐欺による金銭被害
6	内部父性による情報漏洩
7	予期せぬIT基盤の障害に伴う業務停止
8	インターネット上のサービスへの不正ログイン
9	不注意による情報漏えい等の被害
10	脆弱性対策情報の公開に伴う悪用増加

情報セキュリティ10大脅威 2021
出典：独立行政法人 情報処理推進機構セキュリティセンター
「情報セキュリティ10大脅威2021」を基に作成
URL: https://www.ipa.go.jp/files/000088835.pdf

ネットワーク診断のすゝめ

日増しに脅威を増大させるサイバー攻撃。

手口が巧妙化し、多様化する中、対策に困窮する企業も少なくないと存じますが、悲観することはありません。 個人情報の流出やランサムウェアによる身代金の要求など、サイバー攻撃による被害のほとんどは、ネットワークの脆弱性を突いた不正アクセスが起点となって、引き起こされています。つまり、不正アクセスへの対策を講じることによって、サイバー攻撃のリスクを大きく減らすことができるのです。

不正アクセス対策のためには、まず、自社のネットワークのどこに脆弱性があるかを知ることが大切であり、セキュリティベンダーなどが提供するネットワーク脆弱性診断サービスをご利用いただくことが有効です。

こちらのコラムに関するお問い合わせをご希望の方は、以下のフォームにご入力ください