経産省のサイバーセキュリティ経営ガイドラインが示す、中小企業に必要な対策

　近年、サイバー攻撃の脅威に注目が集まっており、2015年12月には経済産業省および情報処理推進機構（IPA）が「サイバーセキュリティ経営ガイドライン」（ガイドライン）を公表した。

　サイバー攻撃の標的となる恐れは、必ずしも大企業ばかりとは限らない上、攻撃を一度受ければ顧客・取引先からの信頼の喪失など甚大な損害をもたらす可能性も考えられる。この連載ではサイバー攻撃対策のポイントとともに)セキュリティインシデント発生に備えるサイバー保険とは何かや、その活用方法を探る。今回は、近年のサイバー攻撃の実態に加え、中小企業にスコープを絞った対策のポイントをサイバーセキュリティ経営ガイドラインを紐解きながら解説する。

サイバー攻撃とは

（1）サイバー攻撃とは

　サイバー攻撃は、ガイドラインにおいて「コンピュータシステムやネットワークに悪意を持った攻撃者が不正に侵入し、データの窃取・破壊や不正プログラムの実行を行うこと」と定義されている。

　近年、ITの発達に伴い、攻撃手段は多様化・高度化の一途を辿っているが、主な攻撃手段として以下が挙げられる。

主要なサイバー攻撃手段

（2）近年におけるサイバー攻撃の傾向

　サイバー攻撃の目的に着目すると、以前は「いたずら」や「能力の誇示」といったものが中心であったが、最近では、「金銭目的」や「組織活動の妨害」に変化しつつある。近年では、企業が保有する情報を暗号化し、復号と引き換えに金銭を要求する「ランサムウェア」と呼ばれるマルウェアを利用した攻撃が登場している。（「ランサム」は英語で身代金の意）。

　これに伴い、攻撃対象も多様化しており、政府機関や大企業だけでなく、例えば中小企業や個人のインターネットバンキング口座から、攻撃者の口座に金銭を振り込ませる不正送金被害も年々増加している。

（3）サイバー攻撃の現状

　「2014年度情報セキュリティ事象被害状況調査」（IPA）によれば、2014年度の1年間にサイバー攻撃に遭遇した企業の割合は15.1%であり、2012年度の同調査と比較して5.5ポイント増加している。図１の通り、DoS攻撃（サービス妨害攻撃）、標的型攻撃によるマルウェア感染の被害が企業規模を問わず多くなっている。

サイバー攻撃の手口（従業員規模別）
（出典：IPA「2014年度情報セキュリティ事象被害状況調査」）