IT用語集 2021/08/08

企業が警戒すべきセキュリティ脅威について徹底解説

コラム

2023年11月28日 www.soliton.co.jp より移設

企業や組織が直面するセキュリティ脅威は、ここ数十年で「なくならないもの」になりました。攻撃手法は年々変化し、外部からのサイバー攻撃だけでなく、内部不正やヒューマンエラーといった内部起因のリスクも見逃せません。この記事では、企業の脅威の全体像を整理したうえで、代表的な脅威と、実務として押さえるべき対策の考え方を解説します。

企業におけるセキュリティ脅威の現状とは

企業におけるセキュリティ脅威は、大きく「外部からの脅威」と「内部における脅威」の2つに分けられます。現実には両者が絡み合って被害が拡大することも多く、どちらか一方だけを対策しても十分とは言えません。

外部からの脅威

外部からの脅威として代表的なのが、ネットワークを介して企業のサーバーやPCなどに不正にアクセスし、重要情報の窃取・改ざん、業務妨害、破壊活動などを行うサイバー攻撃です。攻撃に使われる手口やマルウェアは多様化しており、単純なウイルス対策だけでは防ぎきれないケースも増えています。

内部における脅威

内部における脅威には、内部不正（内部者による意図的な持ち出し・悪用）と、ヒューマンエラー（意図しない誤操作・誤送信・紛失など）があります。内部不正は表面化しにくいことがあり、実態がつかみにくい点も課題です。さらに、内部不正とヒューマンエラーは「アクセス権限」「運用ルール」「教育の徹底」といった要素に強く依存します。

リモートワーク普及がもたらした影響

2020年以降、リモートワークが急速に広がったことで、端末管理やソフトウェア利用の統制（ガバナンス）が効きづらい状況が生まれました。社外から社内システムへアクセスする手段が増え、外部攻撃の入口が増えただけでなく、データを扱う場所が分散することで内部起因リスクも増えやすくなっています。

企業は「情報セキュリティ10大脅威」組織編に目を通しておこう

独立行政法人情報処理推進機構（IPA）が毎年公表している「情報セキュリティ10大脅威」は、企業が脅威の全体像をつかむうえで有用な資料です。その年の状況を踏まえて注目すべき脅威が整理されているため、脅威の優先順位付けや社内教育の題材としても活用しやすい特徴があります。

参考として「情報セキュリティ10大脅威 2020」組織編は以下のとおりです。

1位　標的型攻撃による機密情報の窃取
2位　内部不正による情報漏えい
3位　ビジネスメール詐欺による金銭被害
4位　サプライチェーンの弱点を悪用した攻撃
5位　ランサムウェアによる被害
6位　予期せぬIT基盤の障害に伴う業務停止
7位　不注意による情報漏えい（規則は遵守）
8位　インターネット上のサービスからの個人情報の窃取
9位　IoT機器の不正利用
10位サービス妨害攻撃によるサービスの停止

ここからは、この整理も踏まえつつ、企業が警戒すべき代表的なセキュリティ脅威を外部・内部に分けて解説します。

外部からのセキュリティ脅威

外部からの脅威は種類が多いものの、実務の観点では「入口」「横展開」「目的（情報窃取・金銭・妨害）」の3点で整理すると理解しやすくなります。ここでは代表的な3つを取り上げます。

脆弱性を突いた攻撃

OSやアプリケーションの脆弱性（プログラムの不具合や設計上の弱点）を突く攻撃は、インターネットが普及し始めた頃から存在する代表的な手口です。脆弱性は発見され次第、修正パッチが提供されますが、すべての端末・システムに迅速に適用できるとは限りません。

また、脆弱性の公表やパッチ提供の前後を狙って攻撃が行われることもあります。特に、修正プログラムが用意される前の弱点を突く「ゼロデイ攻撃」は、更新だけでは防ぎにくい典型例です。

リモートワークの普及以降は、ビデオ会議ツールやグループチャット、社外から社内へアクセスするためのVPNなど、業務に欠かせない仕組みが攻撃対象になりやすい点にも注意が必要です。

標的型攻撃

特定の企業や組織を狙う標的型攻撃は、攻撃の準備が周到で、手口も巧妙化しています。目的は機密情報の窃取や事業活動の妨害などで、単発の感染で終わらず、侵入後に企業内ネットワークを探索して重要情報へ到達しようとする点が特徴です。

標的型攻撃では、開封しそうなメール、よく使うクラウドサービス、Webサーバー、業務上のやり取りを模したファイルなどが入口として悪用されます。端末への侵入が起点となり、権限昇格や横展開を経て被害が拡大するため、「入口対策」だけでなく「侵入後に広げない設計」も重要になります。

ビジネスメール詐欺

ビジネスメール詐欺は、役員や取引先になりすまして偽装メールを送り、経理・財務担当者に振込を促して金銭をだまし取る手口です。攻撃者は事前に関係者の情報やメールの文面の癖を調べ、もっともらしい指示に見せかけることがあります。

古典的な詐欺に見える一方で、実務では「急ぎ」「例外対応」「口外禁止」といった心理的な圧力がかかり、組織的な承認・確認プロセスが崩れることが被害につながります。技術対策と同様に、送金フローや確認手順の整備が欠かせません。

内部におけるセキュリティ脅威

内部起因の脅威は、外部攻撃と比べて「検知の難しさ」と「組織運用の弱点が直撃する」点が特徴です。ここでは内部不正とヒューマンエラーを整理します。

内部不正

内部不正は、従業員や元従業員、委託先関係者などが機密情報を持ち出したり悪用したりする行為です。動機は私怨や金銭目的などさまざまですが、共通するのは「持ち出せてしまう状態」が存在していることです。

過去には、公的機関の記録媒体が不適切に扱われ、結果として情報が外部に流出する可能性が問題化した事例も報じられています。こうしたケースでは、個人の故意だけでなく、管理の甘さや手順不備が被害の土台になっていることが少なくありません。

リモートワークでは、端末やデータを自宅で扱う機会が増えるため、持ち出しやすさ・発覚しにくさの両面でリスクが高まりやすい点にも注意が必要です。

ヒューマンエラー

ヒューマンエラーは故意ではないものの、結果として情報漏えいや業務停止につながるリスクです。メールの誤送信、誤設定、端末の紛失、クラウドストレージの公開範囲ミスなど、日常業務の延長で起きやすい点が厄介です。

また、ヒューマンエラーは「個人の注意不足」だけで片づけると再発しがちです。確認手順が複雑すぎる、例外対応が常態化している、教育が属人的、といった組織側の設計問題が背景にあることも多いため、仕組みとして減らす発想が重要になります。

企業に必要なセキュリティ脅威への対策は？

企業にまず求められるのは、基本対策を「やっているつもり」にせず、継続運用として徹底することです。たとえば、OSやアプリケーションのアップデート、最新のセキュリティ対策の導入、重要情報の暗号化、不審メールへの対応手順の徹底など、実効性の高い対策を確実に積み上げる必要があります。加えて、従業員への教育や研修を定期的に実施し、判断のブレを減らすことも重要です。