開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

株式会社電通国際情報サービス提供コンテンツ

  • スペシャル
  • 会員限定
  • 2021/06/30

“心の隙”を突くサイバー攻撃が急増、被害を抑え従業員の「行動を変える」方法は何か

ワクチンや給付金をかたったフィッシングメールなど、人の不安や恐怖につけ込んだサイバー攻撃が急増している。「通信相手を信頼せずに攻撃されることを前提とする」コンセプトを持つ“ゼロトラスト”のセキュリティ対策をはじめ、新たな製品やサービスも登場しているが、人間の心の隙を突く攻撃には、十分な対策ができているとはいい難い。こうした状況で、企業はどのようにリスクコントロールすればよいのだろうか。人に焦点を当てたセキュリティ対策と被害が発生した時の備えについて整理する。

photo
ミスを犯す「人」をターゲットにしたサイバー攻撃に対し、どう対応するのが正解なのか
(Photo/Getty Images)

テレワーク拡大で、人の不安・恐怖につけ込むサイバー攻撃が急増

 IPA(独立行政法人情報処理推進機構)は毎年、「情報セキュリティ10大脅威」を発表している。このランキングには個人編と組織編の2つがあるが、2021年度の組織編でいきなり3位にランクインしたのが「テレワーク等のニューノーマルな働き方を狙った攻撃」だ。

 いうまでもなく、これは新型コロナウイルスの世界的なパンデミックの影響だ。対人の活動が制限された結果、テレワークを初めとする新しい働き方が広がり、これまで社外との境界を防御してきた社内ネットワークに、社外の端末から接続する必要性が高まった。その結果、その端末を狙ったサイバー攻撃が急増したのだ。特に顕著なのが、人々の不安・恐怖につけ込んだ攻撃だ。ワクチンや特別給付金などの内容を騙(かた)ったフィッシングメールはその典型だろう。

画像
情報処理機構(IPA)の「情報セキュリティ10大脅威 2021」は在宅勤務に関するものが上位を占めた
(Photo/Getty Images)

 被害が増えている背景には、急いでテレワーク環境を整備した結果、従業員教育が追いついていない現実もある。本来なら在宅業務に合わせたルールを理解・納得してもらい、徹底する必要があるが、現実にはそこまでできている企業は少ない。

 今までなら、不審なメールを受信したら隣の同僚に相談したり、IT部門に確認したりできたのにそれができない。攻撃側にとって、こうした状況は非常に有利だ。仮に関係者が1000人いる場合、そのうちの1人でも“ひっかける”ことができたら成功だからだ。

 その結果、個人情報をはじめとする機密情報が漏えいしたら、或いは昨今猛威を振るっているランサムウェアにより事業中断などが発生したら、企業は莫大な損失を被ることになる。経済産業省 商務情報政策局 サイバーセキュリティ課が2020年12月に発表した「注意喚起」には、サイバー攻撃による被害額の平均について、1億数千万円という記載がある。軽微なインシデントが多いことを考慮すると、現実の金額は、これを大きく上回るだろう。

 「ソーシャルエンジニアリングと呼ばれる、人間の心理的な隙や、行動のミスに付け込むサイバー攻撃を100%防ぐことはできないため、損害が発生する可能性が高い」「損害をなるべく防ぐため従業員のリテラシーを上げたい」──。従来のセキュリティ対策に加え、新しいスタイルのセキュリティ教育が求められている状況に、企業はどう備えればよいのだろうか。

この記事の続き >>
・「損害補償」と「従業員教育」を同時に対処する方法
・セキュリティについての意識や組織の文化を変革するには
・リスクの発現を抑え、発現したときの経済的負担を最小化

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!