今回のコラムでは、「情報セキュリティ10大脅威2019」について取り上げます。「情報セキュリティ10大脅威2019」とは、情報処理推進機構(IPA)が、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティ関連の事案をもとに決定したものです。
※本記事は、2019年4月10日に公開された記事を一部再編集しております。
TOP3は、昨年と変わらず
1位~4位までは、標的型攻撃による被害やビジネスメール詐欺による被害など、外部からの攻撃による脅威がランクインしています。サイバー攻撃で利用される不正なマルウェアが1日に新しく発見される数は、数十万件にも達します。日々進化するサイバー攻撃に対抗するには、自社のセキュリティ対策も常に最新の状態であるよう日頃から見直すことが必要です。
4位 サプライチェーンの弱点を悪用した攻撃の高まり
製品やサービスにおける、原材料の調達、製造、在庫管理、物流、販売までの一連の全プロセスの繋がりをサプライチェーンと呼びます。
5位 内部不正による情報漏えい
しかし、内部不正の対策は、ウイルス感染や標的型攻撃などの外部からの攻撃防止策とは異なる難しさがあります。
行動分析で解決する領域
ガイドラインを策定
IPAの調査によると、内部不正の要因の約7割は、「うっかりミスや不注意によるルールや規則の違反」です。これらを防ぐために、PCやUSB機器などのデジタルデバイスの活用やSNS投稿に関するガイドラインの策定や、ガイドライン徹底のための研修や定期的なチェックなどを行い、社員のルールの認知を徹底させることが必要です。
ガイドラインの策定等では、作って終わりでは効果的とは言えません。従業員の行動の改善にまでどのように落とし込み、徹底させるかが重要です。
従業員の行動を分析する方法
勤怠やWeb閲覧履歴など、さまざまなログデータから従業員の行動を解析し、従業員の不審な行動や、内部不正を行う兆候を持つ人物を検知・可視化することで、内部不正の防止を行います。一つだけの行動でなく、複数の行動を掛け合わせることで、行動の意味や背景を分析を行います。
ログ解析ツールなどの導入が必要な場合がありますが、情報漏えいや不正行為などのセキュリティ対策だけでなく、従業員のメンタルヘルス改善や離職リスク軽減、ハラスメント防止といった労務管理でも活用することができます。
外部からのサイバー攻撃に関わらず、内部からのリスク対策(内部脅威検知)も重要であり、健康診断のような内部リスク診断も行っています。
日本企業の多くは、「性善説」から組織運営がなされています。しかし、情報セキュリティに関しては、「性悪説」の観点から、内部の監視体制を強化する時代を迎えています。
参考URL
「情報セキュリティ10大脅威 2019」独立行政法人情報処理推進機構(2019)
デジタルリスクラボ編集部
デジタルリスクラボは、株式会社エルテスが、デジタルリスクから「企業成長」と「個人のキャリア」を守るためのメディアとして運営。株式会社エルテスが提供するデジタルリスク対策サービスは、こちら。
