【法務NAVIまとめ】サイバー攻撃対策についてのまとめ
2016/01/14 コンプライアンス, 情報セキュリティ, 民法・商法, 個人情報保護法, その他
企業のサイバー攻撃対策の基本
1.はじめに
メールやサイトを開くことでウイルスに感染させ、企業へダメージを当てるサイバー攻撃。国内では日本年金機構が125万件の個人情報を流出した事件などが記憶に新しい。
◆日本年金機構情報漏洩事件
◆日本年金機構情報漏洩事件の報告(簡易版)
◆日本年金機構情報漏洩事件に関する調原因究明調査結果(詳細)
IoTの有用性やビッグデータの必要性が説かれる一方で、いつ自社がサイバーテロの標的にされるか分からない時代になってきた。そこで今一度企業がサイバー攻撃について知っておくべきことについて確認したい。
2.サイバー攻撃の種類
主な攻撃方法は2種類である。
①サービス停止攻撃(Dos、DDos)
過剰な付加をかけてシステムをダウンさせたり、端末や通信機器の脆弱性を攻撃するなどしてサービス提供を妨害する方法。DoSとは「Denial of Service attack」の略。攻撃側が複数の機器を用いるものはDDoS(Distributed Denial of Service attack)という。攻撃の種類は多岐にわたる。
◆DoS、DDoS攻撃について
◆Dos/DDoS攻撃対策について(警察庁)
◆Dos攻撃(マルウェア情報局・Canon)
②標的型攻撃
様々な手法を複合的に用いて、個人や企業など特定の相手の情報を詐取・破壊する方法。メールや悪意のあるサイトへの誘導を用いてマルウェアに感染させるなどの手法がとられる。最近では業務における通信を利用したソーシャルエンジニアリング的手法が用いられることもあり、攻撃を感知出来ないまま外部から内部ネットワークへ感染していることもしばしばである。代表的な手段はフィッシングメール+不正プログラムの組み合わせによる情報の取得や管理者権限の乗っ取りを行うものである。
◆標的攻撃型(マルウェア情報局・Canon)
3.企業内での対策
業種によってシステムや企業内の情報が異なるため、サイバー攻撃に対する意識の差が一定程度生じていると考えられるが、日本年金機構の情報漏洩事件の失敗から学ぶべきは概ね以下の事柄であるといえる。
①組織内でのシステム利用方法の徹底(共有フォルダに情報を放置しない、など)
②システム運用に関する多層的な技術的な防御策の構築(モニタリング、入口対策・内部対策・出口対策)
③異常事態に対応出来る権限を持った責任者・技術者の配置(人的対策)
④セキュリティポリシーやマニュアルの策定
尤も人材や予算の都合上、万全の対策が取れていると全ての企業が豪語できるわけではない。縦割りの部署・管轄しかし情報漏洩がもたらす企業価値の毀損は絶大であることは疑いようがない。従業員はもちろん株主や取引関係者にまで深刻な打撃を与える。そこで、コンプライアンスという点からは、システムそのものの構築は難しいかもしれないが、専門的な管理部門の設置及び技術者との連携を密にすること、社内における情報リテラシーの指導の徹底等を定期的かつ継続的に実践することが求められる。以下に、東芝ソリューション株式会社における具体的な社内での情報セキュリティにおけるコンプライアンス・モデルを提供するので参考にされたい。
◆サイバーセキュリティ戦略本部第3回会合・議事概要における指摘(平成27年7月23日)
◆日本年金機構における不正システムによる情報流出事案検証委員会における指摘(平成27年8月21日)
◆企業のほとんどは対策が不十分(平成23年11月18日)
◆東芝ソリューション株式会社におけるコンプライアンス・モデル
4.終わりに
企業には基本的なルール策定と周知・実践の徹底が求められる。だがサイバー攻撃は日々進化しており、迅速に対応するためには、どのような攻撃が仕掛けられるのかという情報を入手する必要がある。国内企業は14日付けで異業種横断的な「産業横断サイバーセキュリティ人材育成検討会」と称する組織を立ち上げる。
動き出しは昨年4月に遡り、
①専門的な人材育成ツール
②情報共有の仕組みの作成
③大学等との連携による将来的な人材の育成
を目的としている。
まずは各業界大手の企業によるスタートを切り、追って加盟企業を広げる考えであり、新しい時代のサイバー対策としての期待が高まる。
◆サイバー攻撃対策、異業種連携 トヨタ・ソニーなど40社(1月14日付日本経済新聞)
◆産業横断サイバーセキュリティ人材育成検討会についてのインタビュー(6月時点)
また、経済産業省が、国として初めて経営者に対する指針(サイバーセキュリティ経営ガイドライン)を示したので是非そちらも参照されたい。
◆サイバーセキュリティ経営ガイドライン(案)
関連コンテンツ
浅見 隆行
樋口 一磨
新着情報
- 弁護士
- 平田 堅大弁護士
- 弁護士法人かなめ 福岡事務所
- 〒812-0027
福岡県福岡市博多区下川端町10−5 博多麹屋番ビル 401号
- まとめ
- 中国「データ越境移転促進・規範化規定」解説2024.4.23
- 中国の現行法令上, 香港・マカオ・台湾を除く中国本土内(「境内」)から境外への個人情報等の移転...
- 弁護士
- 大谷 拓己弁護士
- 弁護士法人咲くやこの花法律事務所
- 〒550-0011
大阪府大阪市西区阿波座1丁目6−1 JMFビル西本町01 9階
- セミナー
松永 倫明 セールスマネージャー(株式会社Cyberzeal、Viettel Cyber Security所属)
阿久津 透 弁護士(弁護士法人GVA法律事務所/東京弁護士会所属)
- 【オンライン】経営と法務が備えるべきサイバーリスク~サイバー攻撃被害の現実と予防策〜
- 終了
- 2025/05/29
- 17:30~18:30
- 業務効率化
- Mercator® by Citco公式資料ダウンロード
- ニュース
- 要件の厳格化を経団連が提言、株主提案について2025.12.11
- 経団連は12月8日、コーポレートガバナンスに関し、株主提案権の要件を厳格化すべき旨を提言しまし...
- 解説動画
斎藤 誠(三井住友信託銀行株式会社 ガバナンスコンサルティング部 部長(法務管掌))
斉藤 航(株式会社ブイキューブ バーチャル株主総会プロダクトマーケティングマネージャー)
- 【オンライン】電子提供制度下の株主総会振返りとバーチャル株主総会の挑戦 ~インタラクティブなバーチャル株主総会とは~
- 終了
- 視聴時間1時間8分
- 解説動画
奥村友宏 氏(LegalOn Technologies 執行役員、法務開発責任者、弁護士)
登島和弘 氏(新企業法務倶楽部 代表取締役…企業法務歴33年)
潮崎明憲 氏(株式会社パソナ 法務専門キャリアアドバイザー)
- [アーカイブ]”法務キャリア”の明暗を分ける!5年後に向けて必要なスキル・マインド・経験
- 終了
- 視聴時間1時間27分
- 業務効率化
- クラウドリーガル公式資料ダウンロード
