サイバー犯罪に巻き込まれないためのガイドライン|セキュアエッジ株式会社ー新時代のネットワーク・セキュリティソリューションー
経営目線でのセキュリティに関するガイドラインを解説
サイバー犯罪には時代とともに多様な変化を遂げる犯罪です。そのスピード感は被害を受ける個人や企業にとって脅威となっています。
特に企業は顧客や社員の個人情報を始めとして、機密情報を扱っていることもあり、十分なサイバー犯罪対策を行う必要があります。
サイバー犯罪の脅威と攻撃手法
サイバー犯罪とは、コンピューターやそのネットワーク、接続されたデバイスを標的とし、利用する犯罪です。
多くのサイバー犯罪は金銭目的で行われますが、まれにコンピューターやネットワークそのものに危害を加えるためだけに行われることもあります。
サイバー犯罪の種類は、細かく列挙すると数多いですが、大まかな手法は以下3つに分類されます。
・CD-ROM、USBメモリなどの記録媒体を利用
・架空請求などネットワーク利用犯罪
・標的型メールを利用した不正アクセス
CD-ROM、USBメモリなどの記録媒体を利用
主な手口は、自ら持ち込んだ記録媒体に企業の重要情報や社員の個人情報を抜き取り、社外へ持ち出したり、記録媒体を介して端末にウイルスを拡散させたりするなどの行為が挙げられます。
架空請求などネットワーク利用犯罪
ネットワークを介したサイバー犯罪で、コンピューター電磁的記録対象犯罪以外のものを指します。
主な手口は、偽りのサービス利用を突きつけて架空請求を送り、料金を騙し取るなどが主な行為です。
標的型メールを利用した不正アクセス
標的型メールとは、特定の企業や個人を標的にし、巧妙に偽装された手法で機密情報の窃取を目的とするサイバー攻撃の一種です。一般的な迷惑メールとは異なり、受信者にとって違和感のない内容や差出人を装うことで、リンクをクリックさせたり、添付ファイルの開封を誘導します。
この攻撃により、個人のIDやパスワードを入手し、勝手に他人のパソコンへアクセスする犯罪です。
その他、標的型メールを使ったマルウェアなどコンピューターウイルスへの感染事例もあります。
サイバー犯罪による実際の被害事例
実際に企業で起きたサイバー犯罪の実例を紹介します。
企業の被害事例① ランサムウェア攻撃による身代金要求
KADOKAWA(2024年6月):ランサムウェア攻撃によりニコニコ動画を含む主要サービスが長期間停止する甚大な被害が発生しました。報道によると、約300万ドルの身代金を支払ったものの、システムの完全復旧には至っていないとされています。
企業の被害事例② フィッシングメール被害による個人情報漏洩
共立メンテナンス(2025年10月):介護付高齢者向け住宅「ドーミーシニア」などを運営する株式会社共立メンテナンスは、従業員が受信したフィッシングメールを起点に、当該従業員が使用していた端末が第三者による不正操作を受けました。これにより、入居者・家族・取引先・見学者などの個人情報が流出した可能性が発覚しました。
企業の被害事例③ 不正アクセスによる個人情報流出
ハウステンボス(2025年8月):テーマパーク「ハウステンボス」は、8月29日(金)にシステムの一部に不正なアクセスが行われ、業務管理システム等のサーバー内のファイルの一部が暗号化されていることを確認。これにより、顧客情報など約150万件の個人情報が、外部に流出した可能性があることが発覚しました。
サイバー犯罪対策として取り組むべきこと
サイバー犯罪の手口は、IT技術の進歩に伴い年々巧妙化しています。企業側も対策をアップデートしつつ、抜け目のない対策を行う必要があります。
サイバーセキュリティ対策は会社全体としての対策と同様に、従業員への周知徹底も重要です。
これからサイバー犯罪対策を検討する担当者や企業オーナーへ向けて、以下に対策方法を紹介します。
①【アンチウイルス製品を導入する】
アンチウイルス製品の導入は、会社として行うべきサイバー犯罪対策です。アンチウイルスソフトは、問題が発生する前に驚異をスキャンの上、検知し削除できます。
100%安全とは言い切れませんが、アンチウイルス製品の導入は情報を預かる企業の義務と言っても良いでしょう。最新のサイバー犯罪に対応するためにソフトウェアは常に更新しておく必要があります。
②【ソフトウェアとOSを常に最新にしておく】
ソフトウェアとOSの更新は、当たり前のようでありながら、業務中に出てくるアップデート告知の表示に煩わしさを感じて、つい後回しにしてしまいがちです。
ソフトウェアとOSは常に最新の状態でなければ、セキュリティパッチが適用されません。
アップデートがある場合は、面倒でも優先させましょう。
③【サイバーセキュリティ意識向上の徹底】
情報セキュリティ事故は従業員のミスに起因するものがほとんどです。会社として万全な対策を行うことと同様に、従業員の情報管理の意識向上も欠かせません。
主な対策として、入社時の導入研修にはセキュリティに関する周知を行い、定期的なパスワード変更や、ダミーメールによる抜き打ちのテスト、年に数回のセキュリティ研修などが挙げられます。
十分過ぎる程に行うのがサイバーセキュリティ対策です。できれば情報システム責任者を置いて徹底したいところです。
④【強力なパスワードを生成する】
強力なパスワードを使うと、不正アクセスを防止できる可能性が高くなります。自分で考えるのも良いですが、パスワードマネージャーなど機械的にパスワードが生成できるツールを使うと推測されにくいパスワードを作成できます。
生成したパスワードは紙に書いて保管せずに、管理ツールにて記録しておきましょう。
⑤【スパムメールや不明なリンクのクリックをしない】
情報漏えい事故の多くは、外部メールを思わずクリックしてしまうことで発生しています。スパムメールの添付ファイルは開いてはいけません。また、見知らぬリンクもクリック厳禁です。
思わずクリックしてしまう事故を防ぐには、日々の周知徹底を十分に行うより他に方法はありません。従業員一人ひとりが強く意識できるよう、会社として十分に対策をとりましょう。
経営時のサイバー犯罪対策注意ポイント
サイバーセキュリティ対策を進めるにあたって、経営者として認識しておくべき経営ガイドラインを以下に紹介します。
注意するポイント① サイバーセキュリティの重要性を十分に認識する
経営者はサイバーセキュリティのリスクを十分に意識して、リーダーシップを発揮しつつ対策に取り組む必要があります。
経営者がサイバーセキュリティの重要性を認識していなければ、従業員へ周知することはできません。積極的なセキュリティ投資も必要です。
注意するポイント② 取引先へのセキュリティ対策も行う
自社だけでなく、取引先となるビジネスパートナーや委託先を含めたサプライチェーンへのセキュリティ対策が必要です。
情報セキュリティ事故は取引先でも起こりえます。大事な情報を共有するときは、情報管理についての書面の取り交わしだけでなく、セキュリティ研修も行うようにしましょう。
注意するポイント③ ステークホルダーへの適切な情報開示
日頃から顧客や株主に対してサイバーセキュリティに関する適切な情報開示を行い、信頼関係を構築しておくことが重要です。適切な信頼関係があればインシデント発生時にも円滑なコミュニケーションを取ることができます。
まとめ
サイバー犯罪の被害は、重要な情報を持つ企業にとって甚大なものです。被害の規模によっては企業価値が大幅に低下することも考えられます。
サイバーセキュリティはハードとソフトの両面から対策を行いましょう。事故のきっかけは人によるところが大きいため、セキュリティ研修の導入も欠かせません。
今回お伝えしたガイドラインを参考に、事前の対策を入念に行いましょう。
https://www.npa.go.jp/hakusyo/h19/honbun/html/j11b0000.html