追いつかない対策、進化する「情報」への攻撃にどう立ち向かう

増大する被害額!変化する「10大脅威」

独立行政法人情報処理推進機構(IPA)は、情報セキュリティ上の「10大脅威」に関する2011年版の報告書[pdf] において2010年上半期のデータをまとめ、詳細な内容を発表している。この報告書によれば、以下の結果が表示されている。

表1

コンピューターの普及による高度情報化社会への進展に伴い、個人情報への意識が高まる一方、情報漏えいの手口も複雑化し、件数も増加している。

一般的に個人情報漏えい事件では、個人情報を収集した個人情報取扱事業者が、安全管理義務(個人情報保護法第20条)や従業者・委託先の監督義務(同21条及び22条)に違反したとして損害賠償請求される事例も多いが、過去において宇治市住民基本台帳事件(1万円の慰謝料と5000円の弁護士費用)やTBC事件(3万円の慰謝料と5000円の弁護士費用)に代表されるように、通常1人当たり1万円前後、二次被害があった場合でも最大3万円程度が認定されているにすぎない。

ところが表1によると裁判を経ない和解による示談も多く、一人当たりの平均損害賠償額は裁判ベースをはるかに超えた4倍程度の4万823円となっている。

次に過去5年間の情報社会の10大脅威を比較したリスク順位が表2のとおりとなっている。この結果によれば、5年間でリスク内容は大幅に変化し、特に2010年では新たに携帯電話、スマートフォンやSNSなどを対象に5つのリスクが10大脅威に入ったことが特徴となっている。

表2


注:IPAが公表している「10大脅威」において、2010年新しく登場した脅威

組織へのビジネスインパクトへの脅威

一般的には代表的なセキュリティ事故である「情報流出」「システム停止」「ウェブサイトの改ざん」などが企業活動に影響を与えるものとなるが、昨今では特に「クレジットカード情報の流出」「健康診断結果や履歴書情報の漏えい」「研究開発情報の漏えい」などが顕著になっている。

2010年10大脅威の中で特徴的なものを挙げると、データの持ち出し、組織外部への情報の流布、誤送信、紛失・盗難などによる「人」の起こすミスや故意の犯罪の多発が顕在化した。データによる分析では、メール等の誤送信に伴う「誤操作」が37%を占め、次いで内部ルールの整備不良に伴う「管理ミス」が30%を占めた。

新たな脅威

スマートフォンでは、ソフトウエアに脆弱性が存在する機種で、Webサイトを閲覧させる、又はファイルを開かせることで攻撃が成功する脆弱性を悪用するタイプと、正規のアプリケーションを装ったウィルスをインストールさせるタイプが顕在化した。

また、2010年にはソフトウエアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャル・エンジニアリングにより特定企業や個人を狙った攻撃が顕著となった。

さらに、公開しているシステムや事業に活用しているシステムに対して、不正アクセスなどを引き金にセキュリティ上の問題が発生し、その結果として、サービスの中断や風評等により、組織活動に支障をきたしたり、事業継続が困難となる場合や、対策に不備があるシステムを公開し続けた結果、攻撃の踏み台に悪用され、ネット社会に多大な迷惑や被害を及ぼした事例などが確認された。

SNSへの攻撃

ミニブログサービスやSNSに対する攻撃も新たに確認されている。これらの特徴を悪用し、利用者を騙したり、ウィルスに感染させようとする攻撃が出現している。ツイッター上で、利用者が興味を持つ内容を発言し、貼付けたURLをクリックさせて外部サイトに誘導させようとするが、このURLは「短縮URL」サービスが使用されクリックするまでどのようなWebサイトに誘導されるかわからない。SNSにおいてもWebサイトの脆弱性を悪用し、利用者の偽の情報を表示させたり、意図しない操作をさせたりする事例が多数確認されている。

白井邦芳「CSR視点で広報を考える」バックナンバー
もっと読む
白井 邦芳(危機管理コンサルタント/社会情報大学院大学 教授)
白井 邦芳(危機管理コンサルタント/社会情報大学院大学 教授)

ゼウス・コンサルティング代表取締役社長(現職)。1981年、早稲田大学教育学部を卒業後、AIU保険会社に入社。数度の米国研修・滞在を経て、企業不祥事、役員訴訟、異物混入、情報漏えい、テロ等の危機管理コンサルティング、災害対策、事業継続支援に多数関わる。2003年AIGリスクコンサルティング首席コンサルタント、2008年AIGコーポレートソリューションズ常務執行役員。AIGグループのBCPオフィサー及びRapid Response Team(緊急事態対応チーム)の危機管理担当役員を経て現在に至る。これまでに手がけた事例は2700件以上にのぼる。文部科学省 独立行政法人科学技術振興機構 「安全安心」研究開発領域追跡評価委員(社会心理学及びリスクマネジメント分野主査:2011年)。事業構想大学院大学客員教授(2017年-2018年)。日本広報学会会員、一般社団法人GBL研究所会員、日本法科学技術学会会員、経営戦略研究所講師。

白井 邦芳(危機管理コンサルタント/社会情報大学院大学 教授)

ゼウス・コンサルティング代表取締役社長(現職)。1981年、早稲田大学教育学部を卒業後、AIU保険会社に入社。数度の米国研修・滞在を経て、企業不祥事、役員訴訟、異物混入、情報漏えい、テロ等の危機管理コンサルティング、災害対策、事業継続支援に多数関わる。2003年AIGリスクコンサルティング首席コンサルタント、2008年AIGコーポレートソリューションズ常務執行役員。AIGグループのBCPオフィサー及びRapid Response Team(緊急事態対応チーム)の危機管理担当役員を経て現在に至る。これまでに手がけた事例は2700件以上にのぼる。文部科学省 独立行政法人科学技術振興機構 「安全安心」研究開発領域追跡評価委員(社会心理学及びリスクマネジメント分野主査:2011年)。事業構想大学院大学客員教授(2017年-2018年)。日本広報学会会員、一般社団法人GBL研究所会員、日本法科学技術学会会員、経営戦略研究所講師。

この記事の感想を
教えて下さい。
この記事の感想を教えて下さい。

このコラムを読んだ方におススメのコラム

    タイアップ