第5回:ITセキュリティ向上のための三つの習慣
今年も情報処理推進機構(IPA)によって「情報セキュリティ10大脅威2025」が公開された。DXを語る上で外せないのがITセキュリティの問題。今回は情報処理推進機構(IPA)の情報セキュリティ脅威ランキングでここ数年不動の一位のランサムウェアを取り上げてみたい。
| 順位 | 「組織」向け脅威 |
| 1 | ランサムウェアによる被害 |
| 2 | サプライチェーンの弱点を悪用した攻撃 |
| 3 | 内部不正による情報漏えい等の被害 |
| 4 | 標的型攻撃による機密情報の窃取 |
| 5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
(IPAの「情報セキュリティ10大脅威 2024」より抜粋)
香港・東南アジアの小売大手企業であるDaily Firm(現、DFI Retail Group)もランサムウェアの標的となり3,000万米ドルを要求されたりした等、その脅威は未だに大きい。
1. ランサムウェアとは
ランサムウェアとは、コンピュータやデータを人質にとり身代金(ransom)を要求する悪意のあるソフトウェア。脆弱性(セキュリティ上の欠点)からVPN突破、ID・パスワードを類推してのリモート機器への侵入、あるいはウイルスを仕込んだリンクや添付ファイルをターゲットに送り付けて感染させ、データやコンピュータを乗っ取るというのが主な手口。
2. ランサムウェアの影響と被害
感染すると重要なデータを使えなくなり、経済的損失は勿論、心理的ストレスなども甚大。前出のIPAによると日本企業が支払った身代金の平均は110万米ドル(約1億1,400万円)。身代金は支払うべきではないが、復旧にはそれ以上のコストと時間を要することも。また情報漏洩が起こると、顧客や取引先からの信頼の失墜、ひいては賠償問題に発展することもあり、漏洩を防ぐ事こそが大前提である。
3. 誰もがやるべき対策と三つのちょっとした習慣
アンチウイルスソフトやファイアウォールの使用は基本だが、怠りがちなのがセキュリティパッチ(《脆弱性》修正プログラム)の適用。脆弱性を狙ったサイバー攻撃は後を絶たない。
①セキュリティパッチを速やかに充てる習慣化・仕組化を。
②また大企業などでの感染で未だに後を絶たないのが不審メールの添付を開けてしまったという事例、普段から不審なファイルを触らない習慣化教育を徹底すべき。
③それでも不幸にして感染してしまったら、まずはネットワークからの切り離し、続いて最寄りの専門家への連絡、以下、専門家によるウイルス駆除の後、バックアップデータを戻してのデータ復旧となる。
バックアップデータまで人質に取られるのを防ぐため大切な習慣は、定期バックアップの都度バックアップ装置をネットワークから毎回切り離す習慣の徹底である。
巷では、AI ネットワーク監視システムなど高度なソリューションもあるが大切なのはコストパフォーマンス等自社に合うか。気になるツールがあればまずは専門家にご相談を。
弊社でもITセキュリティチェックやカスタム・セキュリティ教育など無料ITよろず相談も承っておりますのでお気軽にお声がけを!
【筆者紹介】
上野 隆
文系大学卒後NEC入社、同早期退職後に上海・香港でIT起業。2010年より香港TRE社長。同社は「気配りのソフトに安心のハード」を理念に35年前に香港で創業。ERP(会社システム)を事業の柱に日系企業のDX化を日々サポート。
記事に関するご質問やDXに関するご相談歓迎!
Eメール:sales@tre.com.hk
日刊香港ポストは月曜から金曜まで配信しています。ウェブ版に掲載されないニュースも掲載しています。時差ゼロで香港や中国各地の現地ニュースをくまなくチェックできます。購読は無料です。登録はこちらから。
