×
順位 「組織」向け脅威 初選出年
(2016年以降)前年順位 1 ランサムウェアによる被害 2016年 9年連続9回目 1 2 サプライチェーンの弱点を悪用した攻撃 2019年 6年連続6回目 2 3 内部不正による情報漏えい等の被害 2016年 9年連続9回目 4 4 標的型攻撃による機密情報の窃取 2016年 9年連続9回目 3 5 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 2022年 3年連続3回目 6 6 不注意による情報漏えい等の被害 2016年 6年連続7回目 9 7 脆弱性対策情報の公開に伴う悪用増加 2016年 4年連続7回目 8 8 ビジネスメール詐欺による金銭被害 2018年 7年連続7回目 7 9 テレワーク等のニューノーマルな働き方を狙った攻撃 2021年 4年連続4回目 5 10 犯罪のビジネス化(アンダーグラウンドサービス) 2017年 2年連続4回目 10
多くの企業において、おそらく以下のような情報は存在すると思われます。
情報漏えいが発生すれば、次のような深刻な被害に拡がる可能性があります。
情報セキュリティ対策とは一口に言っても、実際には多岐にわたり、実施は容易ではありません。
大企業だけでなく、中小企業を狙うハッキングやマルウェアなどの攻撃が増加しています。その手法は常に進化を続けています。
ランサムウェアは、コンピュータやシステムのハードディスクに保存されているファイルを暗号化し、その解除のために被害者から金銭を要求する悪意のあるソフトウェアです。ファイルを「人質」として扱い、その解放には身代金が必要とされます。
標的型攻撃は、ある特定の組織を狙い、その組織の機密情報を盗むか、業務を妨害することを目的とした攻撃手法です。例えば、悪意のあるメールを送り、そのメールに添付されたファイルを開かせるような手法や、不正なウェブサイトに誘導してウイルスを感染させる手法があります。
サプライチェーン攻撃は、ターゲット企業に直接サイバー攻撃を仕掛けるのではなく、セキュリティ対策が弱い関連企業や取引先、委託先企業に攻撃を仕掛け、その企業を経由してターゲット企業に不正侵入を行うサイバー攻撃の手法です。
ゼロデイ攻撃は、セキュリティ上の脆弱性が発見された直後に、広く公表される前にその脆弱性(ゼロデイ脆弱性)を悪用して行われるサイバー攻撃のことです。
「システム障害」とは、社内システム、社外システム、自社が顧客に提供するシステムなど、ITシステムの機器、ソフトウェア、通信回線などに障害が発生し、システムが利用できなくなることをいいます。
IT人材不足の要因は、日本の労働力人口の減少によるものであり、これは少子高齢化が背景にあります。さらに、DX(デジタルトランスフォーメーション)の需要が増加しているにも関わらず、人材の供給が追いつかないことも不足の一因です。また、SEの労働環境が悪いというイメージも、この問題に影響を及ぼしています。
データをクラウドに移行する際には、コンプライアンスの問題や安全でないAPI、設定ミスのあるサーバー、マルウェアなど、多くのリスクが存在します。これらのリスクへの認識は高まっていますが、セキュリティ・アラートが発生した際に適切に対処できる企業は、まだ少ない状況と言われています。
電子メールの誤送信やクラウドサービスへのファイルの誤ったアップロードなど、不注意によって意図しない相手に情報が漏洩してしまうことがあります。近年では、クラウドサービスの設定ミスなどにより、非公開情報が誰でも閲覧可能になる事例が増加しています。
システムや組織に損害を与えるセキュリティ事故の原因です。
脅威によって影響を受け、企業の弱点を攻撃される可能性があります。
脅威が脆弱性を悪用し、将来的に損害を与える可能性があることを指します。
情報セキュリティ上の欠陥や弱点は、Webアプリケーション、スマートフォンアプリ、ソフトウェア、ミドルウェア、オペレーティングシステム、ネットワーク機器、およびクラウドプラットフォームなど、様々な技術領域に存在します。これらは一般的に脆弱性と呼ばれ、ソフトウェアのバグ、適切でない構成、セキュリティポリシーの不備、または不正な操作など、様々な要因によって引き起こされる可能性があります。
セキュリティ診断の必要性について、まず脆弱性を放置することでどのようなリスクが生じるかを考えてみましょう。脆弱性を放置すると、攻撃者によって悪用され、ウェブサイトが改ざんされたり、不正アクセスが行われたり、個人情報やクレジットカード情報、企業の秘密情報などの重要な情報が漏洩したり、企業内のネットワークが侵害される可能性があります。これらの事態により、金銭的な損失が発生したり、個人や企業の評判や信用が損なわれる可能性があります。
脆弱性を未然に防ぐために、システムの定期的な診断が推奨されています。規制当局や業界団体は、これを求めており、取引先からも指示がある場合があります。脆弱性診断は、コンプライアンス要件の一部と見なされることがあります。定期的な診断は、四半期から1年ごとに行われることが一般的です。
セキュリティ診断の目的は、システムやソフトウェアなどに存在する脆弱性を発見し、それらが引き起こすリスクや影響を評価することです。高いリスクや大きな影響を持つ脆弱性は修正することで、システムのセキュリティが向上し、悪用される可能性が減少します。セキュリティ診断の必要性は、脆弱性が放置されると悪意のある攻撃者によって利用される危険性があるためです。従って、脆弱性を特定し適切な対応を施すことでシステムの安全性を確保することが重要です。
・監査を目的にする定期診断:四半期、または1年ごと
・アプリケーションの開発完了後からリリース前のタイミング
・システムのアップデート時
ISMS(ISO27001)、プライバシーマークの認証取得。24時間専用オペレーターによる万全の監視体制で、情報を守ります。
BCPとしての災害対策、データ保全、セキュリティ確保など、個々の企業の課題に合った解決方法をワンストップでご提供できるのが、DSKデータセンターです。
国内データセンターの運営ノウハウを持つ技術スタッフにより、企業のセキュリティ状況を総合的に診断、状況に合わせた最適な対策プランが分かります。
データセンターを利用することで、ワンストップで「複合的な問題解決」サポートを実現します。
・データを安全に保管することができます。
・最新のセキュリティ技術を導入することで、セキュリティリスクを最小限に抑えることができます。
・データセンターでは定期的なバックアップや冗長化対策など、災害に備えた復旧手段が整備されており、万が一の場合でも安心です。
・データセンターを利用することで、企業は自社でサーバーやインフラを管理する必要がなくなり、コスト削減につながります。
初期的な総合診断と対処や対策
必要に応じて専門分野の担当による対処と対策サポート
復旧作業の請け負い及びサポート
各専門分野による複合的な対策プラン(ネットワーク、サーバー、クラウドサービス等)
まずは、情報セキュリティの現状を把握することが大切です。情報セキュリティの無料診断から始めることをお勧めしております。
資格を持つエンジニアのセキュリティアドバイザーによりチェックを行い、改善につながる報告書を提出いたします。
報告書は高い精度を持ち、診断結果には、脅威や脆弱性だけでなく、具体的な対処方法も合わせて提案いたします。
企業内の情報管理・セキュリティが心配など思い当たる場合には、まずは現状の改善・見直し方法を専門家に相談してみましょう。相談は無料で受けることができます。 課題の解決方法などは個々の企業・地域・運用状況により様々ですが、データセンターが持つノウハウや対策方法をご活用ください。
ご心配やお困りごと等、
ささいなことでも、お気軽にご相談ください。
