【法務NAVIまとめ】サイバー攻撃対策についてのまとめ
2016/01/14 コンプライアンス, 情報セキュリティ, 民法・商法, 個人情報保護法, その他
企業のサイバー攻撃対策の基本
1.はじめに
メールやサイトを開くことでウイルスに感染させ、企業へダメージを当てるサイバー攻撃。国内では日本年金機構が125万件の個人情報を流出した事件などが記憶に新しい。
◆日本年金機構情報漏洩事件
◆日本年金機構情報漏洩事件の報告(簡易版)
◆日本年金機構情報漏洩事件に関する調原因究明調査結果(詳細)
IoTの有用性やビッグデータの必要性が説かれる一方で、いつ自社がサイバーテロの標的にされるか分からない時代になってきた。そこで今一度企業がサイバー攻撃について知っておくべきことについて確認したい。
2.サイバー攻撃の種類
主な攻撃方法は2種類である。
①サービス停止攻撃(Dos、DDos)
過剰な付加をかけてシステムをダウンさせたり、端末や通信機器の脆弱性を攻撃するなどしてサービス提供を妨害する方法。DoSとは「Denial of Service attack」の略。攻撃側が複数の機器を用いるものはDDoS(Distributed Denial of Service attack)という。攻撃の種類は多岐にわたる。
◆DoS、DDoS攻撃について
◆Dos/DDoS攻撃対策について(警察庁)
◆Dos攻撃(マルウェア情報局・Canon)
②標的型攻撃
様々な手法を複合的に用いて、個人や企業など特定の相手の情報を詐取・破壊する方法。メールや悪意のあるサイトへの誘導を用いてマルウェアに感染させるなどの手法がとられる。最近では業務における通信を利用したソーシャルエンジニアリング的手法が用いられることもあり、攻撃を感知出来ないまま外部から内部ネットワークへ感染していることもしばしばである。代表的な手段はフィッシングメール+不正プログラムの組み合わせによる情報の取得や管理者権限の乗っ取りを行うものである。
◆標的攻撃型(マルウェア情報局・Canon)
3.企業内での対策
業種によってシステムや企業内の情報が異なるため、サイバー攻撃に対する意識の差が一定程度生じていると考えられるが、日本年金機構の情報漏洩事件の失敗から学ぶべきは概ね以下の事柄であるといえる。
①組織内でのシステム利用方法の徹底(共有フォルダに情報を放置しない、など)
②システム運用に関する多層的な技術的な防御策の構築(モニタリング、入口対策・内部対策・出口対策)
③異常事態に対応出来る権限を持った責任者・技術者の配置(人的対策)
④セキュリティポリシーやマニュアルの策定
尤も人材や予算の都合上、万全の対策が取れていると全ての企業が豪語できるわけではない。縦割りの部署・管轄しかし情報漏洩がもたらす企業価値の毀損は絶大であることは疑いようがない。従業員はもちろん株主や取引関係者にまで深刻な打撃を与える。そこで、コンプライアンスという点からは、システムそのものの構築は難しいかもしれないが、専門的な管理部門の設置及び技術者との連携を密にすること、社内における情報リテラシーの指導の徹底等を定期的かつ継続的に実践することが求められる。以下に、東芝ソリューション株式会社における具体的な社内での情報セキュリティにおけるコンプライアンス・モデルを提供するので参考にされたい。
◆サイバーセキュリティ戦略本部第3回会合・議事概要における指摘(平成27年7月23日)
◆日本年金機構における不正システムによる情報流出事案検証委員会における指摘(平成27年8月21日)
◆企業のほとんどは対策が不十分(平成23年11月18日)
◆東芝ソリューション株式会社におけるコンプライアンス・モデル
4.終わりに
企業には基本的なルール策定と周知・実践の徹底が求められる。だがサイバー攻撃は日々進化しており、迅速に対応するためには、どのような攻撃が仕掛けられるのかという情報を入手する必要がある。国内企業は14日付けで異業種横断的な「産業横断サイバーセキュリティ人材育成検討会」と称する組織を立ち上げる。
動き出しは昨年4月に遡り、
①専門的な人材育成ツール
②情報共有の仕組みの作成
③大学等との連携による将来的な人材の育成
を目的としている。
まずは各業界大手の企業によるスタートを切り、追って加盟企業を広げる考えであり、新しい時代のサイバー対策としての期待が高まる。
◆サイバー攻撃対策、異業種連携 トヨタ・ソニーなど40社(1月14日付日本経済新聞)
◆産業横断サイバーセキュリティ人材育成検討会についてのインタビュー(6月時点)
また、経済産業省が、国として初めて経営者に対する指針(サイバーセキュリティ経営ガイドライン)を示したので是非そちらも参照されたい。
◆サイバーセキュリティ経営ガイドライン(案)
関連コンテンツ
新着情報
- ニュース
- 物流業界でAIやドローンによる実証実験/2024年問題と労働法制2024.3.19
- 深刻な人手不足が懸念される物流業界の「2024年問題」に対応すべく、AIやドローンでの点検作...
- 弁護士
- 南川 克博弁護士
- 弁護士法人かなめ 福岡事務所
- 〒810-0801
福岡県福岡市博多区中洲5丁目3−8 アクア博多 5階
- 解説動画
- 江嵜 宗利弁護士
- 【無料】今更聞けない!? 改正電気通信事業法とウェブサービス
- 視聴時間53分
- まとめ
- 消滅時効とその援用まとめ2024.1.17
- 企業と取引先、または顧客や従業員との間で発生する債権・債務も、権利者が権利を行使しないまま一...
- 業務効率化
- 鈴与の契約書管理 公式資料ダウンロード
- 弁護士
- 梅嵜 啓示弁護士
- 弁護士法人かなめ
- 〒530-0047
大阪府大阪市北区西天満4丁目1−15 西天満内藤ビル 602号
- 解説動画
- 江嵜 宗利弁護士
- 【無料】新たなステージに入ったNFTビジネス ~Web3.0の最新動向と法的論点の解説~
- 終了
- 視聴時間1時間15分
- 業務効率化
- LAWGUE公式資料ダウンロード
- セミナー
- 中牟田 智博 弁護士(弁護士法人GVA法律事務所/第二東京弁護士会所属)
- 【オンライン】弁護士が解説!基礎から学ぶ下請法
- 終了
- 2024/02/26
- 12:00~13:00