2024.09.25
2024.10.16
【対談】激化するサイバー攻撃、組織はどう備える?
- 文字で構成されています。
※この記事内容は
*がついている用語は、マウスオンすると解説文章が表示されます。
サイバー攻撃のリスクに組織はどう備えるべきか、従業員の心構えはどうあるべきか。我が国トップ水準のリスク関連コンサルティング会社であるMS&ADインターリスク総研の土井剛取締役に、インソースデジタルアカデミーの杉山晋一代表取締役執行役員社長がお話を聞きました。
増える「身代金型攻撃」
杉山:現代のビジネスパーソンにとってIT・デジタル知識は、読み書きそろばんと同じように基礎的教養になったと考えています。一方で、サイバー攻撃によって企業などが損害を受ける例が増えていますね。最近のサイバー攻撃の特徴を教えてください。
土井氏:かつては企業のデータを盗み出して闇市場で売るという手口もありましたが、5、6年前からはランサムウェアといって、PCに保管されているファイルや、データベースを勝手に暗号化し、元に戻すことの対価として身代金を取ることを目的にするケースが大多数を占めています。特に電気、ガス、鉄道などのインフラ企業や病院などは攻撃されると社会に大きな影響があります。
杉山:組織はどう備えたらよいでしょう。
土井氏:警察庁の統計で、ランサムウェアの侵入経路の6割以上はVPNからと言われています。多くはVPNそのものの脆弱性を突かれたもので、これは常時監視して防ぐシステムもあり、当社でもMS&ADサイバーリスクファインダーとしてご提供しています。
出典:独立行政法人情報処理推進機構「情報セキュリティ 10大脅威 2024」
https://www.ipa.go.jp/security/10threats/10threats2024.html
一方でIDとパスワードが盗まれて不正にログインされるケースもあります。このリスクには多要素認証と呼ばれるID/パスワード以外の認証手段(スマホAuthenticatorアプリでの認証や、携帯ショートメッセージ(SMS)、電子証明書のインストール等)を導入することで、リスクを低減することが出来ます。
人的教育も非常に重要
杉山:DXが進む中で、組織の一人一人がデータに触れているので、個々人のセキュリティに対するリテラシーを高める必要がありますね。システムを突破するより、人間の弱みを突くほうが犯罪者にとっては簡単ですから。
土井氏:人的対策は、技術的な対策とともに非常に重要です。米ベライゾンのリサーチでは、データ漏洩被害のうち、悪意のない人的なミスから起きたケースが68%というデータもあります。従業員に対して継続的なセキュリティ教育をすることは、被害防止に大きな効果があります。
出典:Verizon「2024年度 DBIR データ漏洩/侵害調査 - エグゼクティブサマリー」
https://www.verizon.com/business/ja-jp/resources/reports/dbir/
杉山:生成AIの登場のように技術の進化、社会的な変化が大きい時代ですね。
土井氏:新しいものが次々出てくるので、知識の継続的なアップデートが重要なポイントです。当社では生成AIを使う際には、AIのリスクを理解しているかどうかのテストを必須としています。
在宅勤務にもリスク
杉山:在宅勤務が増えていることで、プライベートとオフィシャルの線引きがあやふやになることもありますね。
土井氏:デジタルツールは個人で使うのと業務で使うのは違うということも忘れてはいけません。便利だからと言って企業の秘密情報をLINEでやりとりしたり、ChatGPTに入力したり、ということは、避けるべきです。
出典:独立行政法人情報処理推進機構「情報セキュリティ 10大脅威 2024」
https://www.ipa.go.jp/security/10threats/10threats2024.html
杉山:例えば、契約書のような重要な書類を郵送するときは、普通郵便ではなく書留や配達証明郵便を使いますよね。それと同じで、重要な情報は安易に取り扱わないというように、個々人に理解できる言葉で伝えることが、研修の重要な手法だと思います。
土井氏:人間ですから誰しもミスはあります。しかし、例えばうっかりミスで会社に大きな被害が出たとき、当事者の従業員も大きなメンタルの影響を受けますし、中には退職せざるを得ないケースもあります。セキュリティ教育をすることは、従業員を守ることにもなるということを、会社経営者の皆さまに知って頂きたいと思います。
サイバー保険、日本でも普及へ
杉山:サイバーリスクに対して保険をかけるケースもありますか。
土井氏:欧米ではサイバーリスク保険は日本の数十倍の規模のビジネスになっています。3年から5年以内には日本でもサイバーリスクに保険を掛けるというのが普通になってくるでしょう。ただ準備や対策をきちんと取っていないと保険料も大きくなってしまいます。
杉山:企業の規模にかかわらず、技術的対策と従業員教育の両面が必要コストだということを意識していく必要がありますね。
土井氏:アクセルを踏むときにはガードレールも必要です。デジタル化、情報化はますます加速するでしょうから、リスクにきちんと備えることが大事ですね。
対談を終えて 杉山晋一
㊧ 杉山晋一(当社代表取締役社長)
当社は設立来、ITスキルはリベラルアーツであり、DXを実現する鍵は、自組織の業務に精通している社員にDX研修を実施する事であると考え、サービスを提供してきました。
組織内でコンピューター技術・通信技術に精通した社員が増え、業務の効率化・新規事業・商品の開発が進むと、その基盤である情報処理機械・装置の、事業におけるウェートが上がってきます。
従って、業務を安定的に運営するためには、ますますサイバーセキュリティに対する知識・見識を備えた人員、そして危機管理ができる組織・体制が必要となります。
今回の対談を経て、当社としても改めて実効性のあるセキュリティ分野の研修や、組織体制づくりのコンサルティングを強化してまいります。
※本記事は2024年10月16日現在の情報です。
おすすめ公開講座
関連ページ
日々様々なサイバー犯罪がニュースになる昨今、組織の未来を変えるのは従業員のリテラシー意識です。インソースデジタルアカデミーでは組織全体でのセキュリティ強化を目指した研修を多数ご用意しています。
似たテーマの記事
2024 AUTUMN
DXpedia® 冊子版 Vol.2
Vol.1の「ChatGPT時代」に引き続き、「サイバーセキュリティの今」をテーマにMS&ADインターリスク総研株式会社との対談など、近年注目が集まるセキュリティ問題についてご紹介しております。
Index
-
PICKUP
【巻頭対談】サイバー攻撃への備え 従業員教育が欠かせない
-
冊子限定
「復旧まで1カ月以上」が2割〜国内のランサムウェア被害調査
-
PICKUP
サイバーセキュリティ今昔物語
-
冊子限定
DXpediaⓇ人気記事
-
冊子限定
【コラム】白山から宇宙へ~アポロが生んだ技術の大変革
2024 SUMMER
DXpedia® 冊子版 Vol.1
「ChatGPT時代」をテーマにDXpedia®で人気の記事を冊子にまとめました。プロンプト例を交えた解説や、様々な場面での活用法をご紹介しています。生成系AIの特性を正しく理解し、ひとりの優秀な部下にしましょう。
Index
-
冊子限定
プロンプトでAIをあやつる~前提や体裁を正しく指示して完成度UP!
-
冊子限定
AIそれはデキる部下~インソースグループの生成系AI研修
-
冊子限定
AIと作る表紙デザイン~生成系AIを有能なアシスタントにしよう
-
冊子限定
【コラム】白山から宇宙へ~未来を切り拓くSX(
-
冊子限定
DXpediaⓇ人気記事
2023 AUTUMN
Vol.12 今日からはじめるDX
Vol.12は「中堅・成長企業でのDXの進め方」がテーマです。他社リソースを上手に活用するために身につけたい「要求定義と要件定義」を解説しました。 2人の「プロの目」によるDXの取組みへのヒントに加え、身近なアプリではじめるDXを活用事例とともに紹介します。DXお悩みQ&Aでは、中小・成長企業特有の事例を取り上げました。DXをはじめるなら「今」です。
Index
2023 SPRING
Vol.11 DX革命 第二章~着手から実践へ
vol.4の続刊であるVol.11は「DX革命の実践」がテーマです。 本誌の前半ではDXの課題を4段階に整理し、各段階の解決策である研修プランを掲載しています。 後半では弊社が研修を通じてDXを支援した、各企業様の事例と成果を紹介しています。自社のDX実践に際して、何がしかの気づきを得られる内容となっています。
Index
2020 WINTER
Vol.04 DX革命
Vol.04はDX推進のための効果的な手法がテーマです。DXは喫緊の経営課題である一方、IT人材不足や高いシステム導入コストにより実現が難しいと捉えられがちです。そこで本誌では、今いる人材で低コストに推進するDXについてご紹介しております。
Index
お問合せ
まずはお電話かメールにてお気軽にご相談ください
お電話でのお問合せ
03-5577-3203