企業を取り巻くセキュリティリスク事例とPマークの必要性

こんにちは。プライバシーマークコンサルタントの勝部です。

近年の日本企業には様々なセキュリティリスクが存在していると言われていますね。
さらに「(詐欺などの)手口が巧妙化・複雑化している」というのはよく耳にする言葉です。

なぜこのような状況になっているのでしょうか。

当然、以前からセキュリティリスクはありました。
しかし、そのリスクの原因である『企業へ攻撃や詐欺を仕掛ける側の在り方』が年々変化していっていることが、現在のような巧妙化・複雑化している一因といえます。

一昔前は、いわゆる”愉快犯”といわれるような「企業などに攻撃を仕掛けたりすること自体を楽しむ」割合が相当数いました。
しかし現在ではその割合は徐々に減少し、「経済的利得(金銭)」を動機として行われることが増えているといわれています。

さらには個人で行われていたものが組織化されている傾向も確認されています。
過去には十数名で組織された集団が協力しあうことで1億円以上も詐取する事件があり、不正アクセス禁止法違反や詐欺容疑で逮捕される事件がありました。

この逮捕された容疑者はもともとの知り合いなどではなく、インターネットの掲示板を通じて知り合い、ネット上で分業することでフィッシング詐欺を行っていたようです。インターネットを利用することで組織化することが比較的容易に行うことができるようになってしまったということですね。

このように、『企業へ攻撃や詐欺を仕掛ける側』の在り方が、経済的利得を目的とし組織的に行うことが増えてきたことが、そのまま企業としてのセキュリティリスクの上昇へとつながっているといえます。

そして、どのようなリスクについても共通していますが、いざリスク対策を行う場合に一歩目として必要となるのが「どのようなリスクがあるのかを知ること」です。
そこで本日は情報セキュリティにおける被害はどのようなものがあるのか、典型的な実例をいくつかご紹介して、最後にPマークの必要性について私見を述べさせていただきます。

ケース1:フィッシング詐欺

フィッシング詐欺

《引用:フィッシング対策協議会

金融機関や有名企業などを装った偽のWebサイトにユーザーを誘導し、名前・住所・口座番号・クレジットカード番号・サービス利用ID・暗所番号などの機密情報を盗みとる行為のことをいいます。
このフィッシング詐欺にあうと、「クレジットカードの不正利用」「ネットバンクの不正送金」「インターネットオークション詐欺のなりすまし」などの被害を被る可能性があります。

偽のWebサイトへ誘導する際に送るメールを”フィッシングメール”といいますが、この被害は全国で毎日のように確認されています。
ここ数ヶ月をみてもAmazon,MUFGカード,LINE,楽天といった誰もが知っている、よく利用されている企業の安心感を逆手にとった手口が散見されます。

フィッシング対策協議会(https://www.antiphishing.jp/)では、最新の手口や事例をはじめ定期的にレポートが公表されているので一度チェックされるといいでしょう。

 

ケース2:Webサイトの改ざん

次はWebサイトの改ざんです。
どのような改ざんを行うのかというと、Webサイト内に不正なWebサイトへ誘導する仕組みが埋め込まれるというのが代表的な手口です。
そしてそのサイトを訪れたユーザがウイルスや脆弱性対策を行っていなかったりすると、気づかないうちに偽のセキュリティソフトなどの不正プログラムをパソコンなどにダウンロードさせられます。

この手口を行う者の攻撃対象は大手・中小企業を問いません。“脆弱性のあるWebサイト(容易に攻撃しやすいWebサイト)”を探して行うため注意が必要です。
自社の従業員が改ざんされた可能性のあるWebサイトにアクセスすることがないようケアする必要がありますし、自社のWebサイトが改ざんされないように対策を行う必要があります。せっかく自社のWebサイトを訪れてくれた大切なお客様が不正プログラムをダウンロードさせられた、となれば目も当てられません。

 

ケース3:不正なソフト・プログラムの利用およびインストール

この不正なソフトなどの利用リスクについて、代表的なものとしては、WinnyShareといったいわゆるP2Pファイル交換ソフトをインストールしていたことによる情報漏えいがあります。

徐々にその危険性が認知されだしたことで、最近はP2Pファイル交換ソフトをインストールしているケースは少ないようですが、危険性が認知される前は、「原発の検査情報」・「自衛隊の戦闘訓練計画」・「病院の患者データ」・「警察の捜査資料」・「刑務所の受刑者情報」といった、情報を得たものの使い方によっては大事件につながりかねない情報が漏えいしています。

そして、P2Pファイル交換ソフトさえインストールしていなければ大丈夫、というわけではなく、業務で利用できそうで一見安全そうなソフトに不正なプログラム(ウイルス・スパイウェア)が組み込まれているケースがあります。
そのため、企業にはパソコンなどの端末で利用するソフト・プログラムを管理することが求められます。

関連:Pマーク・情報セキュリティ担当者が情報収集に使えるサイト集【「バグ」・「脆弱性」調査確認編】

 

【Pマークの必要性】セキュリティリスク対策にPマークが必須?

ここまで企業がどのような手口で狙われているかをご紹介してきました。
これらのセキュリティリスクを回避するために、「Pマークは必須ですか?」とご質問いただくことがあります。
このご質問に対しては、いつも「必須ではありませんが有用です(役に立ちます)。」とお応えしています。

常日頃からセキュリティリスクへの対策を意識的に行っている企業は、ルールが明確にあり、そのルールが遵守されていることかと思います。
その場合、Pマークの取得は「対外的な信用」という意味においては必要かもしれませんが、リスク回避という意味合いにおいては必須とはいえません。

しかし、日々変化するセキュリティリスクに対して、実際にはそこまで人員的にも時間的にもコストをかけることができない企業の方が多いかと思います。
Pマークを取得するための活動の主軸として、「自社内のセキュリティルールの策定」をすることが求められます。
その策定する過程の中で、例えばケース2で紹介したWebサイトの利用についても、「どのサイトも閲覧可とするのか?」「閲覧できるサイトを限定するのか?」といったことを検討する機会ができます。
ケース3で紹介したソフト利用についても、「どのようなソフトを利用可とするのか?」といったことを検討する機会を得ることになります。

つまり、Pマークを取得・運用する活動において、近年のセキュリティリスクに対する防御策(社内ルール)を網羅的に検討する機会ができるのです。
ここが意義的に一番大きいものとなります。

私の立場でこう申し上げるのも変な話ですが、個人的に「どの企業もPマークを取るべきだ」とはまったく思っていません
しかし、継続的に安定した事業を行っていくためにセキュリティリスクをケアすることを考えた場合、便利なツールではあると考えています。

Pマーク取得セミナーを開催します
 

Pマークは難しいと誤解していませんか?

Pマークの取得を検討している方の多くが、Pマークについて誤解をしています。実はPマークの取得は決して難しいものではありません。

コンサルタントとして本当は教えたくない「Pマークって実はこうすれば楽にかんたんに取得できる方法」について解説します。

セミナーの詳細や日程については下記よりご参照ください。

The following two tabs change content below.
勝部隆太

勝部隆太

大手社会保険労務士法人のコンサル部門にて、年間1000名以上の経営者・総務担当者のサポートに携わる。 これまでにプライバシーマークやISOの認証取得・更新をサポートした企業は150社以上。 社内で多岐にわたる業務をこなす必要のある人事・総務担当者や経営者を減らすべく「分かり易いコンサルティング」をモットーとしている。

コメントする

*
*
* (公開されません)