攻撃者は既にあなたを狙っている。必ずやってくるXデーに備えて

現代のビジネスにおいて、「サイバーセキュリティ」という言葉は欠かせない要素となりました。特に2020年のコロナ禍でリモートワークが急速に浸透した際、多くの組織が迅速な対応を迫られました。

2025年現在、サイバーセキュリティの脅威は日に日に増しています。「ランサムウェア」という言葉を耳にする機会も増えていることでしょう。ランサムウェア攻撃では、組織の機密情報が暗号化され、その解放のために身代金を要求されます。令和6年度上半期のランサムウェア被害は114件に上り、令和2年下半期の21件から大幅に増加していることが明らかです。

最近では、従来の暗号化を行わない「ノーウェアランサム」という攻撃も増えています。この攻撃は暗号化の手間を省き、攻撃者が効率的に攻撃を行えるようにしています。

警察庁の発表によれば、令和6年上半期のランサムウェア被害114件のうち、73件は中小企業で発生しています。これは、中小企業がサイバー攻撃対策に十分な予算を割けないこと、そしてサイバー攻撃の危険性を認識していない経営層が比較的多いことを示しています。過去に本記事執筆者の髙橋がホワイトハッカーとしてコンサルティングを行った経験からも、多くの企業が「サイバー攻撃は自分たちには無関係」と考えていることが分かっています。

今後、企業経営の存続は、サイバーセキュリティ対策が盤石に整備できているかどうかにかかっています。最近では少しずつ減ってきてはいるものの、企業によっては「サイバー攻撃は大企業を狙うもの」「うちは規模が大きくないから狙われない」というお話をいただくことがあります。結論から申しますと、今現在はたまたま被害に遭っていないだけであり、「どの企業も将来的には絶対にサイバー攻撃を受ける」という認識を持つことが大切です。

主に攻撃者による攻撃は以下の2種類に大別されます。

サイバー攻撃というと、特定の企業を狙う標的型攻撃の印象が強いと思われます。サイバー攻撃にあまり馴染みのない方もこのようなイメージをお持ちではないでしょうか。

それでも特に注意すべきは、ランダム攻撃です。サイバー攻撃は一日のうちに完結するものではなく、攻撃者は常に対策が遅れている（セキュリティの穴が多い）企業を探しています。攻撃者は得られる情報が多い企業にさらに深く入り込み、より多くの情報を取得しながら攻撃の準備を行い、全てが整い次第、攻撃を決行します。何も対策をしていない企業は、このような攻撃者の格好の餌食となり、既に攻撃者があなたの企業を狙うための準備段階に入っているかもしれません。

サイバーセキュリティ対策において最も重要なのは、「攻撃を受けるXデーが必ずやってくる」という認識を持つことです。そのためには、場当たり的にセキュリティ対策を行うのではなく、サイバーセキュリティ対策のフレームワークに基づいて体系的なセキュリティ体制を構築することが非常に重要です。例えば、NISTやISMSなどのフレームワークが参考になります。体系的な情報セキュリティの運用には、リスクの可視化やマルウェア耐性の構築、社員教育、監査などが含まれます。

このようなフレームワークの構築には経営層の協力が必要ですが、どのような企業でも対応の方針は明確です。今後サイバーセキュリティラボでは、ISMS（情報セキュリティマネジメントシステム）というフレームワークを用いて、昨今のサイバーセキュリティ事情にも対応できるような体制作りに関する有料級の情報を発信していきますので、是非定期的にご確認ください。

サイバーセキュリティラボの更新は、USEN ICT Solutionsが運営するSNSでもご案内を行いますので、是非ご確認ください。