【法務NAVIまとめ】サイバー攻撃対策についてのまとめ
2016/01/14 コンプライアンス, 情報セキュリティ, 民法・商法, 個人情報保護法, その他
企業のサイバー攻撃対策の基本
1.はじめに
メールやサイトを開くことでウイルスに感染させ、企業へダメージを当てるサイバー攻撃。国内では日本年金機構が125万件の個人情報を流出した事件などが記憶に新しい。
◆日本年金機構情報漏洩事件
◆日本年金機構情報漏洩事件の報告(簡易版)
◆日本年金機構情報漏洩事件に関する調原因究明調査結果(詳細)
IoTの有用性やビッグデータの必要性が説かれる一方で、いつ自社がサイバーテロの標的にされるか分からない時代になってきた。そこで今一度企業がサイバー攻撃について知っておくべきことについて確認したい。
2.サイバー攻撃の種類
主な攻撃方法は2種類である。
①サービス停止攻撃(Dos、DDos)
過剰な付加をかけてシステムをダウンさせたり、端末や通信機器の脆弱性を攻撃するなどしてサービス提供を妨害する方法。DoSとは「Denial of Service attack」の略。攻撃側が複数の機器を用いるものはDDoS(Distributed Denial of Service attack)という。攻撃の種類は多岐にわたる。
◆DoS、DDoS攻撃について
◆Dos/DDoS攻撃対策について(警察庁)
◆Dos攻撃(マルウェア情報局・Canon)
②標的型攻撃
様々な手法を複合的に用いて、個人や企業など特定の相手の情報を詐取・破壊する方法。メールや悪意のあるサイトへの誘導を用いてマルウェアに感染させるなどの手法がとられる。最近では業務における通信を利用したソーシャルエンジニアリング的手法が用いられることもあり、攻撃を感知出来ないまま外部から内部ネットワークへ感染していることもしばしばである。代表的な手段はフィッシングメール+不正プログラムの組み合わせによる情報の取得や管理者権限の乗っ取りを行うものである。
◆標的攻撃型(マルウェア情報局・Canon)
3.企業内での対策
業種によってシステムや企業内の情報が異なるため、サイバー攻撃に対する意識の差が一定程度生じていると考えられるが、日本年金機構の情報漏洩事件の失敗から学ぶべきは概ね以下の事柄であるといえる。
①組織内でのシステム利用方法の徹底(共有フォルダに情報を放置しない、など)
②システム運用に関する多層的な技術的な防御策の構築(モニタリング、入口対策・内部対策・出口対策)
③異常事態に対応出来る権限を持った責任者・技術者の配置(人的対策)
④セキュリティポリシーやマニュアルの策定
尤も人材や予算の都合上、万全の対策が取れていると全ての企業が豪語できるわけではない。縦割りの部署・管轄しかし情報漏洩がもたらす企業価値の毀損は絶大であることは疑いようがない。従業員はもちろん株主や取引関係者にまで深刻な打撃を与える。そこで、コンプライアンスという点からは、システムそのものの構築は難しいかもしれないが、専門的な管理部門の設置及び技術者との連携を密にすること、社内における情報リテラシーの指導の徹底等を定期的かつ継続的に実践することが求められる。以下に、東芝ソリューション株式会社における具体的な社内での情報セキュリティにおけるコンプライアンス・モデルを提供するので参考にされたい。
◆サイバーセキュリティ戦略本部第3回会合・議事概要における指摘(平成27年7月23日)
◆日本年金機構における不正システムによる情報流出事案検証委員会における指摘(平成27年8月21日)
◆企業のほとんどは対策が不十分(平成23年11月18日)
◆東芝ソリューション株式会社におけるコンプライアンス・モデル
4.終わりに
企業には基本的なルール策定と周知・実践の徹底が求められる。だがサイバー攻撃は日々進化しており、迅速に対応するためには、どのような攻撃が仕掛けられるのかという情報を入手する必要がある。国内企業は14日付けで異業種横断的な「産業横断サイバーセキュリティ人材育成検討会」と称する組織を立ち上げる。
動き出しは昨年4月に遡り、
①専門的な人材育成ツール
②情報共有の仕組みの作成
③大学等との連携による将来的な人材の育成
を目的としている。
まずは各業界大手の企業によるスタートを切り、追って加盟企業を広げる考えであり、新しい時代のサイバー対策としての期待が高まる。
◆サイバー攻撃対策、異業種連携 トヨタ・ソニーなど40社(1月14日付日本経済新聞)
◆産業横断サイバーセキュリティ人材育成検討会についてのインタビュー(6月時点)
また、経済産業省が、国として初めて経営者に対する指針(サイバーセキュリティ経営ガイドライン)を示したので是非そちらも参照されたい。
◆サイバーセキュリティ経営ガイドライン(案)
関連コンテンツ
中山 達樹
新着情報
- セミナー
内田 博基 氏(三菱UFJ信託銀行株式会社 執行役員 法務部長 ニューヨーク州弁護士)
藤原 総一郎 氏(長島・大野・常松法律事務所 マネージング・パートナー)
板谷 隆平(MNTSQ株式会社 代表取締役/ 長島・大野・常松法律事務所 弁護士)
- 【3/19まで配信中】CORE 8 による法務部門の革新:三菱UFJ信託銀行に学ぶ 企業内弁護士の力を最大限に活かす組織作りの秘訣
- 終了
- 2025/03/19
- 23:59~23:59
- 弁護士
- 水守 真由弁護士
- 弁護士法人かなめ
- 〒530-0047
大阪府大阪市北区西天満4丁目1−15 西天満内藤ビル 602号
- ニュース
- パナソニックが定款変更で人数制限、会社法の取締役数規制について2025.6.4
- パナソニックホールディングスは先月29日、定款を変更して取締役の上限を15人に制限すると発表...
- 業務効率化
- Mercator® by Citco公式資料ダウンロード
- 解説動画
斎藤 誠(三井住友信託銀行株式会社 ガバナンスコンサルティング部 部長(法務管掌))
斉藤 航(株式会社ブイキューブ バーチャル株主総会プロダクトマーケティングマネージャー)
- 【オンライン】電子提供制度下の株主総会振返りとバーチャル株主総会の挑戦 ~インタラクティブなバーチャル株主総会とは~
- 終了
- 視聴時間1時間8分
- 業務効率化
- Legaledge公式資料ダウンロード
- 弁護士
- 原内 直哉弁護士
- インテンス法律事務所
- 〒162-0814
東京都新宿区新小川町4番7号アオヤギビル3階
- まとめ
- 独占禁止法で禁止される「不当な取引制限」 まとめ2024.5.8
- 企業同士が連絡を取り合い、本来それぞれの企業が決めるべき商品の価格や生産量を共同で取り決める行...
- 解説動画
岡 伸夫弁護士
- 【無料】監査等委員会設置会社への移行手続きの検討 (最近の法令・他社動向等を踏まえて)
- 終了
- 視聴時間57分
