情報セキュリティの最新トレンドは？
2023年の情報セキュリティ対策を解説します！

世の中のIT化やビジネスのDX化に伴い、セキュリティインシデントや情報漏洩は年々増加傾向にあります。その被害は社内にとどまらず、社外におよぶことも少なくありません。まずは世間を震撼させ、今も継続している2つの脅威について解説します。

2023年10大脅威第1位の「ランサムウェア」

IPA（独立行政法人 情報処理推進機構）が発表した「情報セキュリティ10大脅威2023」において、組織編の1位に「ランサムウェアによる被害」が3年連続で選定されました。
ランサム（Ransom）とは英語で「身代金」の意味。つまりランサムウェアとは身代金を要求するマルウェアのことです。主な感染経路はメールで、メールに添付されているファイルを開いたりリンクにアクセスしたりすることでランサムウェアがダウンロードされ、感染します。ランサムウェアに感染するとPCなどに保存されているデータが暗号化されて使えない状態になり、データを復旧する見返りとして金銭が要求されるのです。
さらに近年では、搾取された重要情報を公開すると脅す「二重脅迫」、被害者の顧客や利害関係者に連絡すると脅す「四重脅迫」も確認されています。

従来、ランサムウェアによる被害は不特定多数のユーザーを狙ったものが多かったのですが、ここ数年は特定の企業・組織をターゲットにした標的型メールが増えています。被害報告は事業規模を問わず発生しているものの、その多くが中小企業の脆弱性を狙った攻撃と指摘されています。

何度も活動を繰り返すマルウェア「Emotet」

Emotet（エモテット）は、大変高い感染力と拡散力を持つマルウェアの一種で、2014年に初めて検出されました。2021年に入っていったんその脅威は去ったように思われましたが、同年11月に活動再開のニュースが報じられ、2022年2月には日本国内においてEmotetの攻撃および感染が拡大、IPAも注意喚起を呼びかけるほどになりました。
主な感染経路はメールですが、偽装が巧妙なため、うっかりだまされて添付ファイルを開いてしまう人が後を絶ちません。また中小企業を「踏み台」にして大手企業を狙うケースも増加。中小企業は大手企業に比べてセキュリティ対策が十分でない可能性が高いため、攻撃者は侵入しやすいと考えるのです。
Emotetに感染すると、機密情報が盗まれる、社外に感染が広がる、ほかのマルウェアの媒介も行うなど、取引先や顧客を巻き込みながら被害が拡大していくおそれがあります。
2022年はEmotetが猛威をふるった年でもありました。同年11月に数日程度の活動が観測されて以降しばらく休止状態が続いていましたが、4か月後の2023年3月、再びメール送信による活動が報告されています。マルウェアは拡散と収束を繰り返すケースが多く、Emotetも同様と見られており、引き続き警戒が必要です。

情報セキュリティ対策というと外部からの攻撃に備えるというイメージがあります。しかしリスクは社外だけにあるとは限りません。社内にもリスクが潜んでいることを想定し、対策しておくことが必要です。

悪気がなくても起こる「ヒューマンエラー」

東京商工リサーチの調査によると、2022年に上場企業とその子会社で個人情報漏洩・紛失事故を公表した数は150社で、事故件数は165件、流出・紛失した個人情報は592万7,057人分におよび、2年連続で最多を更新しています。その原因で1番多いのは「ウイルス感染・不正アクセス」55.1%（91件）ですが、次に多いのが「誤表示・誤送信」26.0%（43件）、さらに「紛失・誤破棄」15.1%（25件）が続きます。

悪気はなくても操作ミスによってメールを誤送信してしまうことは、セキュリティインシデントの一つなのです。いくらミスのないように努めていても、「ついうっかり」ヒューマンエラーは起こり得ます。集中力や注意力が低下したときは、そのリスクが高まります。ほかにも業務経験の少ない新入社員がメールの使い方を正しく理解できておらず、誤操作や誤送信をしてしまうケースもあります。

ゼロの状態からセキュリティのあり方を考える

そこで最近、情報セキュリティ対策における考え方としてよく聞くようになったのが「ゼロトラスト」です。トラストがゼロの状態とは、誰（ユーザー）も、どこ（ネットワーク）も、何（デバイス）も信用しないということで、そうした前提に立って対策を行うという新しいセキュリティのあり方です。

従業員を信用しないのかと眉をひそめる経営者の方もいるかもしれません。しかしこれは悪い意味で疑うということではありません。後ほど事例のところで紹介するように、内部不正も可能性としては皆無ではありませんが、それよりも気をつけなければならないのは、先ほど述べたようにケアレスミスのほうです。きっかけは誤送信であったとしても、従業員や顧客の情報、社外秘や取扱注意の情報が流出してしまうと、今後の取引に悪影響を及ぼします。会社の信頼にかかわる事故に発展するケースもないとはいえません。場合によっては賠償請求などの責任を問われることもあるでしょう。さらに「情報漏洩した企業」というイメージを持たれることで、社会的信用の低下の恐れも考えられます。

ここからは2023年に起きた最新の情報セキュリティ事故をいくつか紹介します。

Case.01　広がるランサムウェアの被害

Case.02　Emotet感染による個人情報漏洩

Case.03　不正アクセスによるスパムメールの拡散

Case.04　クレジットカード情報が漏洩

続いて人為的なミスによって情報が漏洩したインシデントをいくつか紹介します。また「ミス」ではありませんが、内部不正についても事例を挙げておきます。

Case.01　典型的なメールの誤送信

Case.02　クラウド環境の誤設定による顧客情報漏洩

Case.03　元職員が個人情報を持ち出し不正利用

ここまでに紹介してきたような情報セキュリティ事故を防ぐにはどうすればよいのでしょうか。事故を起こした企業は、今後の再発防止に向けてほぼ同じことを述べます。それは「情報セキュリティ教育の徹底」と「社内管理体制の強化」です。
しかしサイバー攻撃は年々巧妙化することを考えると、人的な対応だけでは十分とはいえません。先の2つとあわせて、多様なマルウェアや不正アクセスに対応できる適切なツールの選定が重要になってきます。それぞれを具体的に見ていきましょう。

社内管理体制の強化

一言でいえば「適切なルールづくりをする」ということです。普段からどのようなことに気をつけて業務を行い、万が一のことが起きた場合にはどうやって被害防止に努めるのか。また、インシデントが発生したときには誰に報告や相談をすればよいのかといったことをしっかりと決めておきます。
そのためには、これまでの何がインシデントの原因になってしまったのかという見直しから始め、そのうえで遵守すべき事項を再整備しましょう。

情報セキュリティ教育の徹底

ヒューマンエラーに備えるには、従業員の意識の向上が欠かせません。コンプライアンスを徹底しようと言ったとして、そのときはわかったつもりになっても、定着させることは容易ではありません。継続的に研修や教育を実施することが必要になります。
そのためには、経営者が率先して意識を変えることも大切です。自社は大丈夫だろうと思ってしまいがちですが、そうした思い込みを捨て、リスクを理解したうえで従業員の情報セキュリティ教育に努めましょう。

適切なセキュリティツールの選定

さまざまなリスクに対して、複数のソフトやツールを組み合わせて多層防御を行うのは、実際のところ大変です。専任の部署や担当者を配置することは、人員が限られる中小企業にとって現実的な対応ではありません。

そこで注目したいセキュリティツールがUTMです。UTMをネットワークの入口に設置することで、外部からの脅威だけでなく内部からの脅威にも備えることができます。各種マルウェアや不正アクセスなどのサイバー攻撃を検知し防止するだけでなく、内部機器からの不正アクセスやウイルス拡散、不適切サイトの閲覧も防止するなど、これ1台で高度な情報セキュリティ対策が可能になります。専任のIT担当者を要することなく、最新の脅威に対応することができるというわけです。

さらに、UTMにはサイバー保険が標準で付帯しているものもあります。使いやすさ、耐久性、サポート体制など、しっかり比較検討したうえで自社のニーズに最も適したUTMを選びましょう。

今回は最新の情報セキュリティ事情について、実際に起きたインシデントの事例もいくつか交えながら解説してきました。サイバー攻撃は大手企業だけが狙われるものではありません。近年はむしろセキュリティ対策が十分でない中小企業をターゲットにして、脆弱性を突く攻撃も増加しています。こうした巧妙な手口に備えるには社内管理体制の強化、情報セキュリティ教育の徹底とあわせて、適切なツールの活用が欠かせません。

また情報セキュリティリスクは外部だけでなく、内部にも潜んでいます。そんなさまざまなリスクにオールインワンで対応してくれるのがUTMです。サイバー攻撃や情報漏洩といった脅威に備え、自社だけでなく顧客や取引先も守る、そうした取り組みが会社の信頼度を高めていきます。

サクサでは、今回ご紹介したUTMなどのセキュリティツールをはじめ、情報セキュリティ対策のご提案を通して、中堅・中小企業のさまざまな課題解決をサポートさせていただきます。ぜひ気軽にお問い合わせください。