2023年1月〜3月に発表されたセキュリティ関連ニュースのうち、今知っておきたい内容をまとめました。
・「情報セキュリティ10大脅威2023 」が決定(IPA)
2006年より毎年IPAから公表されている「情報セキュリティ10大脅威」。その年に社会に大きな影響を及ぼしたトピックが取り上げられており、個人も組織も今どんなセキュリティ対策が重要なのか知ることができます。
「組織」向け脅威としては、3年連続で「ランサムウェアによる被害」が第1位となりました。ランサムウェアは身代金要求ウイルスと言われ、感染してしまうと大切なデータが暗号化されて使えなくなってしまう上に、データ復旧のために金銭(身代金)を要求されます。更に大切なデータを公開するぞと脅されるケースもあります。一度感染してしまうと大切なデータが使えずに事業の継続もままならなくなる他、金銭も要求されるという、とてもタチの悪いウイルスです。
ランサムウェアへの感染は、リモートワークの使用で浸透したVPN機器やリモートデスクトップ機器の脆弱性を使用した侵入を始め、メールやwebサイトによる感染など多岐にわたる為、包括的な対策が重要となります。まず手始めに、「自社の現状を把握し、どのような対策が有効なのか」を判断することが重要です。セキュリティ監査や診断により、自社に必要な対策を知ることができます。
情報セキュリティ10大脅威↓
https://www.ipa.go.jp/security/10threats/
・ECサイト構築・運用セキュリティガイドライン(IPA)
3月にIPAより「ECサイト構築・運用セキュリティガイドライン」が公開されました。
ECサイトを巡る事故は近年多発しており、ガイドラインによると2021年のクレジットカードの年間不正利用被害額は330億円に上り、看過できない状況となっています。
セキュリティ対策を十分に実施しないままサイトを構築・運用し、サイバー攻撃にあってしまうと、大事な顧客情報の漏洩やECサイトの閉鎖、顧客への賠償責任、再発防止対策の実施など大きな負担が伴う為、予め「セキュリティ診断」などを実施して自社のECサイトのリスクを把握し、適切なセキュリティ対策の実施や事故発生時の対応を事前に整備しておくことが重要です。
ガイドラインはECサイトのセキュリティ対策の重要性を記載した「経営者編」、サイト運用担当者の方が取り組みの際に参考する「実践編」の2部構成となっており、特に自社でECサイトを構築された企業様は必見です!
ECサイト構築・運用セキュリティガイドライン↓
https://www.ipa.go.jp/security/guide/vuln/guideforecsite.html
・サイバーセキュリティ経営ガイドラインVer3.0(経済産業省)
テレワークの拡大を始め昨今のサイバー環境の大きな変化に伴い、今回6年ぶりの改訂となった「サイバーセキュリティ経営ガイドライン」。主に経営者がサイバーセキュリティについて認識しておくべき「3原則」や、経営者がセキュリティ担当者(CISO)に指示するべき内容「重要10項目」がまとめられています。
今回の改訂は、サイバーセキュリティ上のリスクが増加する中で「経営者」への意識づけをより明確に記載した内容になりました。
自社でセキュリティ事故が発生してしまうと、
・自社サイトが踏み台に使用されて他社サイトを攻撃してしまう
・大切な顧客情報が漏洩してしまう
・事業停止が余儀なくされ、顧客や取引先などに迷惑をかけてしまう・・・など、
被害者を通りこして「加害者」になってしまう可能性があります。
サイバーセキュリティを自社のリスクマネジメントにおける「重要課題」と認識し、対策を実施することがどんな企業様も不可欠です。
サイバーセキュリティ経営ガイドラインVer3.0↓
https://www.meti.go.jp/press/2022/03/20230324002/20230324002.html
Trouvezでは、専門的な知見から企業様のご状況にあったセキュリティ対策のご支援やご提案をさせていただいております。まずはお気軽にご相談ください。
セキュリティ対策支援
Trouvez(トゥルーヴ)
https://www.trouvez-tll.com/