【法務NAVIまとめ】サイバー攻撃対策についてのまとめ
2016/01/14   コンプライアンス, 情報セキュリティ, 民法・商法, 個人情報保護法, その他

企業のサイバー攻撃対策の基本

1.はじめに

 メールやサイトを開くことでウイルスに感染させ、企業へダメージを当てるサイバー攻撃。国内では日本年金機構が125万件の個人情報を流出した事件などが記憶に新しい。
◆日本年金機構情報漏洩事件
◆日本年金機構情報漏洩事件の報告(簡易版)
◆日本年金機構情報漏洩事件に関する調原因究明調査結果(詳細)
 IoTの有用性やビッグデータの必要性が説かれる一方で、いつ自社がサイバーテロの標的にされるか分からない時代になってきた。そこで今一度企業がサイバー攻撃について知っておくべきことについて確認したい。

2.サイバー攻撃の種類

 主な攻撃方法は2種類である。
①サービス停止攻撃(Dos、DDos)
 過剰な付加をかけてシステムをダウンさせたり、端末や通信機器の脆弱性を攻撃するなどしてサービス提供を妨害する方法。DoSとは「Denial of Service attack」の略。攻撃側が複数の機器を用いるものはDDoS(Distributed Denial of Service attack)という。攻撃の種類は多岐にわたる。
◆DoS、DDoS攻撃について
◆Dos/DDoS攻撃対策について(警察庁)
◆Dos攻撃(マルウェア情報局・Canon)

②標的型攻撃
 様々な手法を複合的に用いて、個人や企業など特定の相手の情報を詐取・破壊する方法。メールや悪意のあるサイトへの誘導を用いてマルウェアに感染させるなどの手法がとられる。最近では業務における通信を利用したソーシャルエンジニアリング的手法が用いられることもあり、攻撃を感知出来ないまま外部から内部ネットワークへ感染していることもしばしばである。代表的な手段はフィッシングメール+不正プログラムの組み合わせによる情報の取得や管理者権限の乗っ取りを行うものである。
◆標的攻撃型(マルウェア情報局・Canon)

3.企業内での対策

 業種によってシステムや企業内の情報が異なるため、サイバー攻撃に対する意識の差が一定程度生じていると考えられるが、日本年金機構の情報漏洩事件の失敗から学ぶべきは概ね以下の事柄であるといえる。

①組織内でのシステム利用方法の徹底(共有フォルダに情報を放置しない、など)
②システム運用に関する多層的な技術的な防御策の構築(モニタリング、入口対策・内部対策・出口対策)
③異常事態に対応出来る権限を持った責任者・技術者の配置(人的対策)
④セキュリティポリシーやマニュアルの策定

 尤も人材や予算の都合上、万全の対策が取れていると全ての企業が豪語できるわけではない。縦割りの部署・管轄しかし情報漏洩がもたらす企業価値の毀損は絶大であることは疑いようがない。従業員はもちろん株主や取引関係者にまで深刻な打撃を与える。そこで、コンプライアンスという点からは、システムそのものの構築は難しいかもしれないが、専門的な管理部門の設置及び技術者との連携を密にすること、社内における情報リテラシーの指導の徹底等を定期的かつ継続的に実践することが求められる。以下に、東芝ソリューション株式会社における具体的な社内での情報セキュリティにおけるコンプライアンス・モデルを提供するので参考にされたい。

◆サイバーセキュリティ戦略本部第3回会合・議事概要における指摘(平成27年7月23日)

◆日本年金機構における不正システムによる情報流出事案検証委員会における指摘(平成27年8月21日)
◆企業のほとんどは対策が不十分(平成23年11月18日)

◆東芝ソリューション株式会社におけるコンプライアンス・モデル

4.終わりに

 企業には基本的なルール策定と周知・実践の徹底が求められる。だがサイバー攻撃は日々進化しており、迅速に対応するためには、どのような攻撃が仕掛けられるのかという情報を入手する必要がある。国内企業は14日付けで異業種横断的な「産業横断サイバーセキュリティ人材育成検討会」と称する組織を立ち上げる。
 動き出しは昨年4月に遡り、
①専門的な人材育成ツール
②情報共有の仕組みの作成
③大学等との連携による将来的な人材の育成
を目的としている。
 まずは各業界大手の企業によるスタートを切り、追って加盟企業を広げる考えであり、新しい時代のサイバー対策としての期待が高まる。

◆サイバー攻撃対策、異業種連携 トヨタ・ソニーなど40社(1月14日付日本経済新聞)
◆産業横断サイバーセキュリティ人材育成検討会についてのインタビュー(6月時点)

 また、経済産業省が、国として初めて経営者に対する指針(サイバーセキュリティ経営ガイドライン)を示したので是非そちらも参照されたい。
◆サイバーセキュリティ経営ガイドライン(案)

シェアする

  • はてなブックマークに追加
  • LINEで送る
  • 資質タイプ×業務フィールドチェック
  • TKC
  • 法務人材の紹介 経験者・法科大学院修了生
  • 法務人材の派遣 登録者多数/高い法的素養

新着情報

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビの課題別ソリューション

企業法務人手不足を解消したい!

2007年創業以来、法務経験者・法科大学院修了生など
企業法務に特化した人材紹介・派遣を行っております。

業務を効率化したい!

企業法務業務を効率化したい!

契約法務、翻訳等、法務部門に関連する業務を
効率化するリーガルテック商材や、
アウトソーシングサービス等をご紹介しています。

企業法務の業務を効率化

公式メールマガジン

企業法務ナビでは、不定期に法務に関する有益な情報(最新の法律情報、研修、交流会(MSサロン)の開催)をお届けするメールマガジンを配信しています。

申込は、こちらのボタンから。

メルマガ会員登録

公式SNS

企業法務ナビでは各種SNSでも
法務ニュースの新着情報をお届けしております。

企業法務ナビに興味を持たれた法人様へ

企業法務ナビを活用して顧客開拓をされたい企業、弁護士の方はこちらからお問い合わせください。