（1）ランサムウェア攻撃

ランサムウェア攻撃とは、被害者のコンピューターやデータを暗号化し、復元のために身代金を要求する攻撃のことです。最近では、あらかじめ情報を盗み出し、公開されたくなければ身代金を支払うよう脅す「二重強迫型」が主流です。

ランサムウェア攻撃による被害としては、以下のような事例があります。

＜事例：ITシステム管理サービスを提供する米国企業のKaseya＞

同社は、リモート監視・管理ソフトウェアの脆弱性を悪用したランサムウェア攻撃を受けたことにより、サーバーダウンおよび約1,500社の関係先への業務影響にまで被害が発展しました。関係先のひとつであるスウェーデンのスーパーマーケットチェーンCoopは、この被害によって多数の店舗で営業停止を余儀なくされたとのことです。攻撃者は、復号ツールと引き換えに、7,000万ドル（約78億円）を要求したとされています。

（2）サプライチェーン攻撃

サプライチェーン攻撃とは、企業の取引先やサプライヤーを標的、あるいはランダムに行う攻撃です。取引先が攻撃を受けることで、その影響が企業にも及ぶ可能性があります。サプライチェーン攻撃による被害としては、たとえば以下のような事例が挙げられます。

＜事例：ネットワーク管理ソフトウェアなどを提供している米国企業のSolarWinds＞

攻撃者は、同社の製品「Orion」に対してサプライチェーン攻撃を行い、3万社以上の導入企業の約半数にあたる18,000社のユーザーに被害をもたらしました。同社は、このサプライチェーン攻撃によるリスクを早い段階で知りながら、一部の情報しか開示せず情報を隠蔽したとされています。

その結果、同社および同社の最高情報セキュリティ責任者（CISO）は、既知のサイバーセキュリティリスク・脆弱性に関する詐欺行為と内部統制の不備により米国証券取引委員会から告発された事例となっています。

（3）DDoS攻撃

DDoS（Distributed Denial of Service）攻撃は、大量のアクセスを送りつけることで、サーバーやネットワークをダウンさせる攻撃です。DDoS攻撃による被害としては、最近では以下のような事例がありました。

＜事例：行政情報のポータルサイト「e-Gov」などの政府機関のWebサイト＞

行政情報のポータルサイト「e-Gov」など政府機関のWebサイトは、1秒間に最大100ギガバイトものデータを送りつけて機能停止させるDDos攻撃を受け、一時的に閲覧不可の状態となりました。

DDos攻撃の発信元IPアドレスは数万件で、ほとんどが海外からであり、ロシアを支持するハッカー集団との関連性が調査されています。本事例を受け、政府や警察庁は民間事業者にもCDN^※導入などによるセキュリティ対策の重要性を呼びかけています。

※ CDN：コンテンツデリバリーネットワークの略称で、WebサイトやWebアプリケーションのコンテンツをユーザーに高速で安全に配信するためのネットワーク

（4）フィッシング詐欺

フィッシング詐欺は、偽のメールやウェブサイトで個人情報を騙し取る攻撃です。フィッシング詐欺による被害としては、以下のような事例があります。

＜事例：データベース管理システムであるMongoDB＞

MongoDBはフィッシング攻撃の被害により、企業システムに対する不正アクセスのインシデントが発生したことを発表しました。これにより、顧客の属性情報や連絡先情報が漏洩した可能性があるとされています。これを受けてMongoDBはすべての顧客に対し、フィッシング耐性のある多要素認証の有効化やパスワード変更を推奨しています。

（5）SQLインジェクション

SQLインジェクションは、データベースに不正なアクセスを行い、データベース内の情報を窃取する攻撃です。SQLインジェクションによる被害としては、以下のような事例があります。

＜事例：テーマパーク運営事業を行う日本企業の公式サイト＞

本事例では、SQLインジェクションを利用した外部からの不正アクセスにより、ファンクラブ会員や仮会員登録者のメールアドレスが一部流出したとされています。

これを受けて本企業では、攻撃に対する防御策に加えて、Webサイトの安全性の再検証やWebサイト開発管理体制の強化を実施するとしています。

（1）情報漏洩

サイバー攻撃による代表的な被害として、機密情報などの情報漏洩が挙げられます。

＜事例：外務省のシステム＞

外務省のシステムは、外交上の機密情報を含む公電をやりとりする重要なシステムです。本システムが中国からサイバー攻撃を受け、機密情報を含む公電が中国当局に幅広く読み取られた可能性が報じられています。

これを受け政府は、外務省や防衛省、警察庁、公安調査庁、内閣情報調査室など機密情報を扱う機関のシステム点検を強化するとともに、 脆弱性のあるプログラムを改善する方針を示しています。

参考：読売新聞オンライン｜外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検

（2）マルウェア

マルウェアとは悪意のあるソフトウェアの総称であり、マルウェアによるサイバー攻撃にはさまざまなものがあります。

＜事例：中国の高度なマルウェア「COATHANGER」＞

中国のサイバー攻撃者は、Fortinet社の次世代ファイアウォール「FortiGate」に存在する脆弱性を悪用し、オランダ軍のネットワークに侵入しました。COATHANGERによって約50人分のユーザーアカウント情報が窃取されたと見られています。

COATHANGERは遠隔操作型トロイの木馬であり、再起動やファームウェアアップデートでは削除が困難とされています。現時点では、Fortinet製品の再インストール・再構成以外に解決策はないとのことで、マルウェアの脅威が巧妙化していることがわかる事例です。

参考：REOTERS｜Chinese spies hacked Dutch defence network last year - intelligence agencies

（1）サイバーセキュリティ対策並びに運用におけるセキュリティポリシーを策定し、順守する

まずは、会社全体として自社のセキュリティポリシーを策定することが重要です。

セキュリティポリシーを策定することで、社内で情報の取り扱いなどに関する共通認識を図ることができ、情シス部門も特に関連する内容を順守しやすくなります。その結果、情報漏洩やセキュリティインシデントのリスク軽減にもつながります。

（2）アクセス制御を設定する

社内にはさまざまな部署や立場の従業員がいるため、アクセス制御を設定することも必要です。部署ごと・役職ごとにアクセス権限を付与し、必要な人だけが情報にアクセスできる環境を整備することがポイントとなります。

特定の情報にアクセスできる対象者を絞ることで、情報漏洩のリスクを低減するとともに、インシデント発生時の追跡も行いやすくなるでしょう。

特にサイバーセキュリティの観点としては、Administratorなどの特権となるアクセス権限はそのままの名称で利用しない、利用者を制限する、監査を行うなど、より厳密な管理が求められます。

（3）パスワード管理を徹底する

不正ログインによる情報漏洩などを防ぐためには、パスワード管理を徹底することも大切です。パスワードを設定する際は、英数字・大文字と小文字・記号をすべて含むように条件付けした上で10桁以上に設定することで、パスワードを推測されにくくなります。

また、共有アカウントがあり、かつ長期間パスワードが変更されていない場合は危険です。複雑かつ推測されにくいパスワードに定期的に変更しましょう。

（4）ウイルス対策を実施する

外部からのサイバー攻撃を防止する上では、ウイルス対策を実施することも重要です。社内のさまざまなシステムやアプリケーション、デバイスなどに対して、ウイルス対策が施されているかを改めて確認するようにしましょう。

また、ウイルス対策ソフトウェアは、常に最新のパターンファイルが適用されるように設定しておくこともポイントです。

（5）データのバックアップを取る

サイバー攻撃によって万が一情報が改ざん・削除された場合に備えて、データのバックアップを取っておくことも大切です。

スタンバイ用のサーバーを同一ネットワーク上に置いておくことによって、ランサムウェア被害に及ぶリスクがあるため、バックアップ方法としては以下の3つが望ましいです。

また、レプリケーション（複製）バックアップの場合は、暗号化されたバックアップデータを別拠点にレプリケーション（複製）してしまうため、バックアップデータすら失われる可能性があります。

そのため、物理的に離れた場所に構築する場合は、バックアップデータを複数世代保存しておくことが有効です。

（6）インシデント対応計画を策定する

十分なセキュリティ対策を行っていても、インシデントの発生をゼロにすることはできません。そのため、インシデントが発生した際のインシデント対応計画を事前に策定しておくことも重要です。

インシデントが発生した際の報告ルートや報告方法、初動対応手順などをあらかじめ明確化しておくことで、万が一の時でも冷静に対応を進めていくことができるでしょう。

（7）従業員教育を実施する

社内の情報セキュリティ対策は、情シス部門だけでなく社内全体で行っていくべき取り組みです。情報漏洩などのリスクを低減するためには、従業員教育を実施することもポイントとなります。

e-ラーニングなどを用いたセキュリティ教育を定期的に実施し、従業員全員がサイバー攻撃の種類や事例、セキュリティ上のリスク、注意すべき事項などを理解しておくことが求められます。

加えて情シス部門の場合は、最新のサイバー攻撃の動向や、対策手法を収集し、知識をアップデートし続けることが重要です。

（8）ゼロトラストセキュリティモデルを導入する

ゼロトラストセキュリティモデルを導入することも有効な手段です。ゼロトラストセキュリティモデルとは、「ゼロトラスト」（決して信用しない）という考え方のもと、ネットワークの内外を問わずすべてのユーザーやデバイスに対して認証やアカウント制御、アクセス制御などを行うセキュリティモデルです。

ゼロトラストセキュリティモデルを導入することで、アクセス認証をより厳密に管理できるようになり、情報漏洩などのリスクを低減することができます。

（9）EDRソリューションを導入する

EDRソリューションを導入する方法もあります。EDRとは「Endpoint Detection and Response」の略であり、エンドポイント（PCやスマートフォンなどの各種デバイス）のセキュリティ担保を行うための仕組みです。サイバー攻撃は年々巧妙化しており、ウイルス対策ソフトやファイアウォール、UTMなどの検出を回避するのにあらゆる手立てを使うため、攻撃を完全に防ぐことは困難です。

そのため、脅威の侵入を防ぐだけでなく、デバイスの挙動監視によって侵入された後の検知・対処を迅速に行うことが求められます。EDRソリューションは、エンドポイントに脅威が侵入するリスクをあらかじめ想定し、脅威の早期検知・対処によって被害を最小限に抑えることを目的としています。

（10）SOARプラットフォームを導入する

SOARプラットフォームを導入することもセキュリティ対策のひとつです。SOARとは「Security Orchestration, Automation and Response」の略であり、情報セキュリティの管理・運用業務の効率化・自動化を実現するためのプラットフォームです。

SOARプラットフォームを導入することで、インシデント発生のリスクをいち早く見つけられる可能性が高まり、自動化が実現すると不足しがちな情報セキュリティ人材の負担軽減や業務効率化に貢献します。