ビジネス視点で分かるサイバーのリスクとセキュリティ

サイバー攻撃の標的が個人から法人にシフトしたセキュリティインシデントの歴史

染谷征良 (パロアルトネットワークス)

2020-02-19 06:00

 本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。

 今回は前編に引き続き、時代の流れとテクノロジーの進化とともに、2000年代以降のサイバーリスクがビジネスにとって持つ意味合いや、位置付けがどのように変化してきたのかを見ていく。

インターネットを経由したサイバーリスクの深刻化

 2000年代に入り、eコマースをはじめとしたインタラクティブなウェブサイトの活用が一層進むと同時に、ウェブサイトから個人データや決済情報を窃取するサイバー攻撃が台頭している。単に、企業が対外的に発信したい情報だけが載っている静的なウェブサイトとは異なり、動的な機能やサービスを活用するスタイルが普及したことで、利用者登録や発注、取引などのために、個人データや決済情報が取得され始めたことが背景にある。

 ビジネス上、顧客満足の向上や販売チャネルの拡大を可能にするITの仕組みが不可欠であるが、その仕組みを構成するウェブアプリケーションなどに脆弱性などのセキュリティ上の不備がある場合、悪意ある第三者が不正に利用者情報を取得することが可能なプラットフォームと化してしまうリスクを抱えてしまうようにもなった。このことは、一時的か中長期的かを問わず、ウェブサイトやウェブサービスなどの事業そのものの停止というビジネスリスクにつながる危険性を伴い、特にインターネットを主戦場とする企業にとっては死活問題である。しかし、闇市場でデータが売買され、さまざまな犯罪で悪用されるようになった近年と比較すると、2000年代初頭は、個人データを脅かすリスク自体がまだ低い上に、世の中の認知自体も低かったといえる。

 同じ頃、インスタントメッセージやファイル共有など、従業員による利用が許可されているか否かにかかわらず、インターネットを経由するさまざまなアプリケーションが企業内でも利用されるようになった。結果的に、従業員の生産性低下からウイルス感染、情報漏えいなどのリスクとなり得る経路が増大し、アプリケーションやインターネット通信の制御に頭を悩ませた意思決定者やネットワーク管理者、端末管理者も多かったことだろう。特に、ファイル共有ソフトを介したサイバーリスクは世界的にも問題となり、国内では「暴露ウイルス」とも呼ばれる脅威によって、企業や官公庁・自治体の保有するさまざまな情報がインターネット経由で外部に流出する事態に陥った。

企業や個人の「信用」が悪用される時代に

 2009年前後を境に、特に国内では、ビジネスにおいて情報発信に活用するウェブサイトを脅かす「ウェブ改ざん」のリスクが大きく変貌した。その一例が、「ガンブラー攻撃」とも呼ばれるサイバー攻撃である。

 この脅威は、従来の主義主張を広く訴えること目的とする「ハクティビズム」とは異なり、正規のウェブサイトを悪用して、訪問者の利用端末をウイルスに感染させるなどの目的で、国内での被害が次々に拡大していった。当然ながら、自社の既存顧客や取引先、見込み客であろうサイト訪問者をサイバーリスクにさらしてしまう脅威である。企業のウェブサイトは、サイバー攻撃をより広範に成功させるための手段、犯罪の踏み台として、本格的にサイバー犯罪者に利用されるようになった。企業や団体が持つ「信用」がサイバー攻撃に悪用され始めた一つの大きな転換期ともいえる。

 日本の多くの法人組織を震撼させたサイバーセキュリティの転換期は、間違いなく国益とも密接に関係する重要インフラ企業や官公庁自治体を中心に、さまざまな組織からの情報漏えいが発生した2011年と2015年だといえる。いずれの年も、標的型攻撃による企業や団体、官公庁・自治体からの情報漏えいが連日のように報道されたり、発表されたりした。

 これらの事件によって、企業が所有する知的財産や利用される個人データ、官公庁・自治体が所有する政治的、地政学的な情報など、いわゆる情報資産が、悪意を持つ第三者にとっても価値が高いものとして、脅かされていることが広く認知された。情報資産が組織から目に見えない形で窃取されることにより、従業員や顧客、取引先が詐欺にあったり、産業スパイによって企業自身の市場競争力や収益の低下につながったりするなど、目に見えない形でさまざまなリスクにつながっていく。実在する組織や人物がメールでのなりすましに使われるなどの形で、ここでも「信用」がサイバー攻撃に悪用されることになる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

  2. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  5. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]