日本国内のサイバー攻撃に対するセキュリティ対策が十分とは言えず、各セキュリティ機関より大きな問題点として指摘されている部分です。
警察庁の統計情報 によると、2017年上半期のサイバー犯罪検挙数は4209件。更にサイバー攻撃に対する相談数は6万9977件と過去最大規模を記録しています。
今回は、そんなサイバー攻撃とその対策の在り方に対する問題点を解説しようと思います。
サイバー攻撃の問題点
繰り返し述べてきたことですが、サイバー攻撃は企業に大きな損失を生み出します。機密情報の流出や個人情報漏洩による損害賠償。更には受託業務の取引先による求償権の行使やブランドイメージの低下など、その問題数は枚挙に暇がありません。
こうしたサイバー攻撃に対して、わたしたちが行うべき対策は以下の3点に集約されます。順を追って確認してみましょう。
〇 サイバー攻撃に備えた対策措置(基礎的対策)
〇 システム監視体制の構築(運用監視対策)
〇 サイバー保険によるリスクコントロール(インシデント発生後の対策)
サイバー攻撃に備えた対策措置
サイバー攻撃を未然に防ぐためのセキュリティ措置は、顧客情報を預かる企業としては当然の責務です。
ところが、企業の中には古く脆弱性を抱えたままのシステムを使用していたり、最新のセキュリティシステムを導入していないケースも多く見受けられます。
〇 使用しているセキュリティソフトは最新のものか?
〇 運用システムに脆弱性修正パッチを適用しているか?
〇 ファイヤーウォールを適切な状態に保っているか?
システムは常に新しい脆弱性が発見されているといっても過言ではありません。企業を狙ったサイバー攻撃には「ゼロデイ攻撃」など厄介なものがあるため、脆弱性対策は必須です。
システム監視体制の構築
昨今は「リスト型攻撃」や「DoS/DDoS攻撃用いた標的型攻撃」など、システム監視システムが有効に働くサイバー攻撃も少なくありません。
〇 システムに対する不審な通信の監視
〇 ウェブサイトに対するアクセスログやシステムログの取得
〇 DoS/DDoS攻撃対策専用機器など不正アクセス対策機器の導入
セキュリティシステムはただ設置するだけでは十分とは言えません。必要に応じて適切な監視システムや対策機器を導入し、セキュリティ体制を維持することが大切です。
サイバー保険によるリスクコントロール
皆さんは「サイバー保険」の存在をご存知でしょうか。企業を狙った「標的型攻撃を100%防ぐことは難しい」と言われている昨今、急速に注目を集めているコンテンツです。
サイバー攻撃の種類を問わず、情報漏洩や不正アクセスに対して幅広く対応しているため、企業のリスク管理には最良の手段と言えるかもしれません。
〇 賠償的補償 → 損害賠償金や弁護士費用・訴訟費用の補償
〇 事故対応的補償 → 行政対応や謝罪広告費用・フォレンジック調査費用
〇 中断的補償 → サービス復旧に伴う逸失利益補償・超過人件費の補償
また、上記のように支払い項目も驚くほどの充実ぶり。サイバー攻撃により生じた様々な賠償的責任・運営コストをカバーすることができるため、企業の損害を最小限に留めることが可能です。
