英IT業界が認めた…日本人専門家が解説、世界のセキュリティ人材に必須の知識

こうして狙われる…サイバー攻撃の最近の手口

　多くの皆さんはサイバー攻撃と聞くと、まず個人情報や知的財産などの情報漏洩被害を思い浮かべると思います。一方、攻撃対象がビジネスや国家になれば、それら組織運営の中断を余儀なくされるような被害となり、損害額も莫大になります。

　たとえば、（サイバー攻撃の事例ではないですが）今回の取材の数日前（2025年3月21日）にロンドンのヒースロー空港が変電所火災の影響で閉鎖されました。この事件がグローバル経済に与えたダメージはかなり大きいです。

　このことから分かるのは、特定企業やインフラの運営が中断されるだけで、グローバル経済に大きな損失が発生するということです。つまり、「政治的・経済的なダメージを与えたい」という動機を持った個人・組織（犯罪グループなど）などから見れば、サイバー攻撃は、こうした標的（企業や国）を狙う場合の効果的な手法になってくるわけです。

　もちろん、このように狙われたら困る領域については、それぞれの企業や国がすでに一定レベルのセキュリティを担保するようになってきています。しかし、近年はサプライチェーン上の企業同士がネットワーク上でつながるようになっていく中で、脆弱な取引先ともつながるようになってきています。攻撃者側は、そうしたサプライチェーン上の脆弱な企業を探し出し、そこを経由して関連企業に損害を与える、といった方法をとるようになってきているのです。

　IoT/AIやDXの普及で企業間や国家間などの相互接続性が進んだ結果、多くの価値を享受できるようになってきた一方、リスクも高まってきているわけです。

足立氏が解説、求められる「セキュリティ対策の最低水準」

　昨今では、経済安全保障の観点からも、サプライチェーンのサイバーリスクが取り上げられるようになってきています。

　また、EUのGDPR（EU一般データ保護規則）においても、取引先のサイバーセキュリティリスクの管理が求められています。つまり、自社のセキュリティ対策が十分であるかということだけではなく、取引先のリスク管理も求められているのです。

　こうしたことはGDPRだけでなく、日米をはじめとした各国での法規制やガイドラインの厳格化においても求められるようになってきています。

　実際、バーゼル銀行監督委員会の原則や、米国ニューヨーク州の金融規制の中でも、サプライチェーンの評価が要求されており、日本でも2024年の10月に金融庁が「金融分野におけるサイバーセキュリティに関するガイドライン」を公表し、その中で、取引先を継続的にモニタリングすることが求められるようになりました。


　一方、金融機関などに話を聞くと、定期的なスナップショットの調査は行っているものの、継続的なモニタリングが行われていないケースが多いのも事実です。数カ月や1年前の結果を見ても現時点の安全性が担保されているかはわからないため、この状況は改善が必要です。

　米国のNIST（National Institute of Standards and Technology）が公開している新たな脆弱性は年間2万件を超えています。平均すると約20分に1つ新たな脆弱性が見つかっているわけです。この2万件すべてが自社に当てはまるものでないにしても、これだけ変化が速い状況の中で、自社にとってのサイバーリスクの状況を把握できていないというのは、企業にとって大きなリスクになると考えます。 【次ページ】法規制でも指摘、「事故発生時の対応」の重要ポイント