業界情報 シリーズ①トレンド サイバーセキュリティ
インターネット利用が増加し、サイバーセキュリティ対策が必要不可欠に
今回は「サイバーセキュリティ」です。サイバーセキュリティとは、サイバー攻撃からの防御を目的とする技術、過程、慣行を含む概念であり、デバイスやアプリケーション、ネットワークを内外からの不正アクセスや改ざんから保護することすべてと定義されます。
多くの技術に関わる非常に幅広い分野であり、個人、企業、政府機関ならびにネットワークとすべての層が対象となります。あらゆる業界がサイバー攻撃のリスクにさらされていますが、2010-22年にかけて医療業界がデータ侵害により最も多額の損害を被っています。
企業において取引のオンライン化や工場の自動化が進み、また政府機関や軍事施設においてもデータ保存などでネットワークやIoTへの依存が高まる一方、サイバー犯罪者にとっては情報を盗む好機が増えています。そのため、サイバーセキュリティの重要性がより一層高まっています。
サイバーセキュリティ・ソリューションは、ハードウェア、ソフトウェア、クラウド向けのセキュリティに大別できます。
ハードウェア向けセキュリティは、コンピュータシステムに内蔵される物理的なデバイスという形で行う保護のことであり、主にハードウェア向けファイアウォールやプロキシサーバなど、システムをスキャンしたりネットワーク・トラフィックを監視したりします。
これに対し、ソフトウェア向けセキュリティとは、コンピューター、ネットワーク、そのほかウェブ対応のデバイスを保護するソフトウェアです。なお、クラウドサービス・ソリューションは、一般的にネットワーク・トラフィックがインライン回線でつながったハードウェア・アプライアンス機器を通過するのと同様に設定されますが、流入トラフィックをクラウド・サービスに転送することでインフラの負荷をクラウド・プロバイダーに転嫁します。
これらのハードウェアおよびソフトウェア向けのサイバーセキュリティは、1)情報、2)ネットワーク、3)アプリケーション、4)クラウド、5)重要インフラを保護する5つの主要分野に対応します。
デジタル化が進む現在、どの分野のセキュリティ技術も広く普及しています。情報保護技術が機密情報の保護を目的に導入されるのに対し、ネットワークやアプリケーション、クラウドの保護技術は事業活動を行うため、仮想的に構築された企業のインフラを保護するために導入されます。サイバー攻撃の対象となりやすい重要資産やネットワーク、システムを護るという「重要インフラのセキュリティ」は、近年注目を集めています。
接続性の向上はサイバー攻撃の増加にもつながる、個人情報が最大の標的に
リモートワークの急速な普及、IoT対応デバイスの増加、インターネット利用者や接続機器の増加、ならびにセキュリティ攻撃が連携型で行われて複雑化するなど、多くの要因を背景に企業に対するサイバー攻撃の脅威が増大しています。なお、ネットワーク対応デバイスの数は2021-25年にかけて年平均成長率(CAGR)22%で増加し122億台から270億台に達する見通しです(IoT Analytics)。
オフィスにおいてデジタル技術の採用が進み、接続された端末などエンドポイントの数が急増したため、サイバー犯罪者が企業ネットワークに侵入する手段も増えました。サイバー犯罪者は、悪意のあるソフトウェアや、スパムメールに添付したリンクを踏ませることでウイルスに感染させ、PC、サーバー、ウェブサイトなど様々なポイントやデバイスへの侵入を図ります。保険会社Hiscoxの「Cyber Readiness Report (2022)」によると、最も一般的な侵入経路はクラウドサーバーで、次いでビジネスメールとなっています。
また、サイバー攻撃の種類は国によって違いがみられます。
たとえば、日本ではランサムウェアによる被害が最も多いです。注目された事例として、2018年に日本を拠点とする暗号資産取引所がランサムウェアのハッキングに遭い、5.3億ドル相当の暗号資産が流出しました。
中国と米国では、マルウェアとフィッシングが最多となっています。
IBM Securityによると、2021年に最も多く盗まれたデータの種類は、氏名、電話番号、メールアドレス、パスワードなどの個人を特定できる情報(PII)でした。
サイバー犯罪者の大半は、個人情報を盗み、なりすましや身代金の要求を行う。たとえば、2013年にYahoo(USA)で発生した最大の個人情報流出事件では、米国内の30億人のユーザーの実名、メールアドレス、パスワードが流出しました。
同様に日本でも、2015年6月に神戸製鋼所、2018年5月に大手防衛関連企業のパスコがデータ漏洩の被害に遭い、両社ともにマルウェア攻撃によって社内ネットワークから複数のファイルが流出したと報告しています。
2020年に発生したコロナ禍により、多くの企業がリモートワークにシフトしました。
これに伴い、安全性の低いデータ送信や管理されていないデバイスを使った企業ネットワークへのアクセスなど、潜在的な攻撃ベクトルが広まっています。リモートワーカーが新型コロナを扱った悪意のあるメールで狙われ、ユーザーの認証情報や支払い情報が流出するなど、フィッシング攻撃が220%増加しました。
2020年以降、米国ではMicrosoft(USA)、Yahoo、Meta Platforms(USA)などの大企業において情報漏えいが発生しています。日本でも2020年にNTTのクラウドネットワークが攻撃され、数百件もの顧客情報が流出しました。同様に、中国でも2021年にソーシャルメディアプラットフォームのSocialArksが攻撃を受け、3億件超の顧客情報が流出している。大企業による被害が話題になる一方で、IBMの調査によると、2020年では調査対象となった中小企業(SME)の52%もサイバー攻撃を受けています。
サイバー攻撃の種類と関連するリスク・事例
サイバー犯罪の事例:被害額によるランキング
「大手企業の情報を盗むための入口」として中小企業がサイバー犯罪者たちの標的に
中小企業は、リソースや従業員が限られているため、強固なサイバー防御を備えておらず、サイバー攻撃者にとって格好の標的となっています。中小企業が大企業のベンダー/サプライヤーとして機能している場合、サイバー犯罪者はこれらの企業を大企業のデータベースにアクセスするための入り口として悪用することがあるようです。
この例として挙げられるのは、数百万人もの顧客のクレジットカード情報が盗まれたTarget(USA)のハッキング事件です。ハッカー集団は、Targetの空調システムを管理する小規模事業者に侵入し、ベンダーとしてTargetのネットワークにアクセスできる資格情報を盗みました。
同様に、トヨタ自動車でも310万人もの顧客情報が盗まれた情報漏えい事件が発生している。同社は、トヨタ販売子会社やその関連会社8社(トヨタやレクサスなどの独立系自動車販売店を含む)のサーバーにハッカーが侵入したことが原因で情報漏えいが生じたとしている。
Forbesによると、2020年時点で中小企業事業主の60%が「サイバー攻撃は自社にとってリスクではない」と考えており、十分なセキュリティ対策を実施しておらず、標的となる可能性が高まっています。また、National Cyber Security Alliance(NCSA)によると、サイバー攻撃を受けた中小企業の6割がその後6か月以内に廃業に追い込まれています。IBM Securityによると、2021年の中小企業のサイバー攻撃による被害額は27%増加しており、セキュリティ上の脆弱性が利用され、機密情報の盗難、スパムの送信、ウェブサイトの機能停止などの被害に遭っています。
サイバーセキュリティに関する規制の枠組みが厳格化
サイバーセキュリティ規制は、情報技術やコンピュータシステムを護るための指令で構成されており、企業に対してシステムや情報保護の遵守を求めています。
現行のサイバーセキュリティ規制は国や地域により異なり、それぞれ事業活動の様々な側面に焦点を当てています。たとえば、米国の基準では事業活動を行うにあたっての原則を示していますが、EUでは、「一般データ保護規則(GDPR)」により域内で事業活動を行うにあたっての規制を詳細に定めています。
国際電気通信連合(ITU)の2020年の「Global Cybersecurity Index(GCI)」によると、法律やインフラ面でサイバー攻撃に対する準備が最も整っていると評価されるのは米国です。なお、英国は第2位、日本は第7位、中国は第33位でした。
日本では、2014年にサイバーセキュリティに特化した法律「サイバーセキュリティ基本法」が制定され、2018年12月の改正に伴いサイバーセキュリティ委員会が設立されました。
同委員会は、事業者や政府、地方自治体がサイバーセキュリティに関わる情報共有や提言を行う場を提供しています。2019年、欧州委員会は日本に対し、日本で2003年に成立した個人情報保護法(APPI)がGDPRと同水準のデータ保護を提供していることを示す十分性認定を下しました。GDPR施行後に十分性認定を受けた国は日本が初めてです。
接続性の向上を背景に高まる脅威、米国をはじめサイバーセキュリティ支出が増加
Fortune Business Insightsによると、世界のサイバーセキュリティ市場は2021年に1,400億ドル規模となり、2021-29年にかけてCAGR13%で成長し3,760億ドル規模に達すると予測されています。
地域別では、北米が2021年の売上高全体の約半分を占めました。これは、高い接続性、強力な製品基盤、サイバーセキュリティに対する政府支出の増加が要因とみられます。2021年、米国政府はサイバーセキュリティへの連邦政府の投資としては過去最大規模となる、インフラ投資・雇用法(Infrastructure Investment and Jobs Act、IIJA)を成立させました。この法律に割り当てられた1.2兆ドルのうち約20億ドルは、いくつかのプログラムを通じ、草の根レベルから国家のサイバーセキュリティを改善するための補助金として割り当てられました。
セキュリティ侵害による被害額は、セキュリティ対策向け投資を大きく上回る
企業が情報漏えいリスクから事業を護る手段はいくつかあるのですが、なかでも「徹底した従業員教育」と「パッケージ型サイバーセキュリティ対策の実施」が2つの主要分野となっています。
情報保護にはリスク費用をカバーするだけの多額の投資が必要となるのですが、最も有効な手段はパッケージ型セキュリティソリューションを導入することです。ただし、ソリューションが導入されていても、人的ミスによる情報漏えいリスクが残るため、サイバーセキュリティに関する教育を従業員に提供することが極めて重要となります。
企業情報を護るための第1ステップは、従業員に対するサイバーセキュリティ教育であるといえます。これにかかる費用は、求められる内容により無料から5,000ドル超までと差があります。たとえば、従業員数が50人程度の企業であれば、セキュリティ意識の向上を目的とする基本的なプログラムの費用は1,000ドル程度となり、50件ほどの個人情報または機密情報が漏えいした場合の費用がかかるに過ぎないようです。
Hiscoxのレポートによると、2022年にサイバーセキュリティに関わる社員教育を強化した企業は全体のわずか39%であり、また一般的な企業のIT予算構成比におけるサイバーセキュリティ充当分は2021年時点で全体の5分の1強(21%)でした。また日本では、セキュリティ担当者がハッキング防止技術を学ぶ一般的なサイバーセキュリティ研修(5日間のプログラム)に参加すると、1人あたり約60万円(約4,100ドル)の費用がかかるということです。
基本的な教育プログラムであれば、セキュリティソリューションのプラットフォームを導入する費用の5分の1ほどの費用で済むようです。たとえば、クラウド型のセキュリティソリューション費用は年間約3万3,500ドルで、226件の記録が盗まれた場合の費用がかかるに過ぎません。しかし、リスク費用の観点からみると、企業が機密性の高い情報を大量に保存しておらず、大手企業と重要な情報をやりとりする関係にない場合は、セキュリティ意識の向上を目指す教育が最も効率的なコスト削減手段であるといえます。
サイバーセキュリティ対策にかかる費用は、組織の事業規模やリスク選好、コンプライアンス検討事項など、複数の要因に左右されます。しかしながら、情報漏えいが生じた際の対応費用は、セキュリティ対策向け投資額を大幅に上回るものとなります。
プラットフォーム別のサイバーセキュリティ研修に関わるコスト
サイバー保険への加入は有効な予備対策
企業は予備的な対策として、サイバー保険に加入することもできるようです。サイバー保険は、データ損失や復元、恐喝、訴訟にかかる費用および規制にかかる罰金など、サイバー攻撃や情報漏えいによる損失や損害から企業を護るものであり、主に「当事者賠償責任保険」と「第三者賠償責任保険」の2種類に大別できます。
当事者賠償責任保険は、加入企業自体による情報漏えいやサイバー被害で生じる損失を補償する保険であるのに対し、第三者賠償責任保険は、第三者に対するサイバー攻撃により加入企業が被る損失を補償するものです。
保険会社は、通常サイバーセキュリティ専門会社と提携を結び、引受業務や保険金支払い請求の受付にあたり、発生しうる技術的課題への対応について協力を得ているようです。
2022年初頭では、米国企業の65%がサイバー保険に加入しており、日本でも急速に普及しているようです。ただ、2020年に日本企業を対象に実施した調査によると、サイバー保険に加入している企業は全体のわずか8%で、今後加入を予定していると回答した企業は全体の19%でした。中国でも、新たに施行された個人情報保護法や増加するマルウェア攻撃により、企業によるリスク移転策の導入が進みサイバー保険の加入が増加しています。2022年、上海保険協会は上海銀行保険監督管理局の指導のもと、国内初のサイバー保険基準を発表しました。