SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

翔泳社の本

企業を強くするサイバー演習 #01:サイバー演習の重要性

第一回:ニュートン・コンサルティング著『企業を強くするサイバー演習』抄録

 ニュートン・コンサルティング 内海良氏の著書『企業を強くするサイバー演習』(翔泳社)の内容からエッセンスを数回にわたって紹介します。企業へのサイバー攻撃による被害が後をたたない中で、実践的な「サイバー演習」をおこなうための基礎的な考え方、種類やその概要を解説してきます。セキュリティ担当者の方に参考にしていただける、実践マニュアルです。第一回は、サイバー演習の重要性とサイバー演習が注目される理由を解説します。

深刻化するサイバー攻撃

 サイバー攻撃による被害が後を絶ちません。サイバー攻撃に起因する情報漏えいや仮想通貨の不正送金については、広く報道され、IT業界のみならず世間一般にまで知られるようになってきました。また経営者が懸念するリスクの調査やグローバル・リスクレポートでも、サイバー攻撃は常に上位に位置しています。

 近年のサイバー攻撃は、完璧に守るというのが難しいほど高度化・巧妙化し、その被害も経営を揺るがすほどの大きなインパクトを与えるようになっています。それが、サイバー攻撃がリスクの上位に位置する理由です。有名な事例を挙げただけでも次表のような多数のサイバー攻撃被害が発生しています。なぜ被害が大きくなっているのでしょうか。

近年のサイバー攻撃被害[クリックして拡大]

 まず、あらゆるものが電子データ化し、オンラインでサイバー空間とつながり始めているという点が挙げられます。情報漏えいといっても紙に書かれた情報の量は、たかが知れています。電子データとなると、漏えいする情報は紙の情報量とは比べるまでもなく膨大です。また膨大であるがゆえに、機密情報も含まれている可能性もあります。それが個人情報であれば、一人ひとりへの連絡や損害賠償を検討するには大変な労力とコストが必要となります。

 しかし、事例で取り上げた企業がセキュリティに取り組んでいなかったかというと、決してそうではありません。様々な対策を取られていたのですが、それでも被害が発生しています。

 攻撃者は常に防御の隙を見つけ、新たな攻撃手法を考え出し、様々な手口で攻撃してくるのです。
たとえば「ゼロデイ攻撃」と呼ばれる手法は、ICTシステムの未知の脆弱性を突いてくる攻撃です。未知ですから、企業組織が防ぐことは極めて困難になります。脆弱性をタイムリーに把握し対応するのは、ほぼ不可能でしょう。その脆弱性を悪用された場合、企業が多層防御といわれる様々な対策をとっていても、攻撃者の糸口を与えることになり、サイバー攻撃を防ぐのはとても難しくなります。

 また新たなインフラともいわれ、私たちの生活に欠かせないEコマースを考えてみましょう。一般消費者からの膨大な数の問い合わせがコールセンターに日々入ってきています。最初はログインができない、配送状況が確認できない等のやりとりが数カ月行われ、その後、マルウェア付きの添付ファイルを送られてくれば、そのファイルを開き感染してしまうのは仕方ないのかもしれません。感染後、攻撃者はC&Cサーバを利用して遠隔操作を行い、社内にどんどん侵入して、最終的に機密情報を盗むこともできます。

 こういった攻撃を完全に防ぐのは極めて難しく、「完全に防ぐ」から「いかに被害を軽減するか」というマインドチェンジが求められているのです。

次のページ
サイバー攻撃被害を軽減する

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
翔泳社の本連載記事一覧

もっと読む

この記事の著者

内海 良(ニュートン・コンサルティング)(ウチミ リョウ)

ニュートン・コンサルティング株式会社 執行役員兼プリンシパルコンサルタント。   
日本でのシステム開発務経験を経て、2004年に渡英。弊社ロンドン法人にてSE 部門、コールセンター部門、セキュリティコンサルティング部門、営業部門のマネージャを歴任。欧州を舞台にその高いスキルを活かしてセキュリティコンサル...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13787 2020/12/28 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング