Risk Management
【Web特別版】
5月号
- 【Web特別版】注目すべき主要なサイバーセキュリティの脅威
【Web特別版】注目すべき主要なサイバーセキュリティの脅威
エリック・シェフラー[*]
サイバー犯罪はますます収益性を高め、かつてないほど頻繁に発生している。技術への依存度が高まるにつれて、ランサムウェア攻撃は11秒ごとに組織を攻撃するようになった。皮肉なことに、デジタル技術を採択して利用すればするほど、新たな脆弱性から犯罪者が付けこむ隙が増えてしまうのである。強固なセキュリティ構築を目指そうとする意識の高まりとそのためのコストが増えるにもかかわらず、特定のサイバー脅威は、拡大し続けるであろう。サイバーリスクは、脅威を直接的に管理することで軽減されなければならない。しかし、複雑化し続ける規制環境や運用環境に対処するには、十分な資源も必要である。
ランソムウェアの増加
サイバー犯罪者は、あらゆる規模の企業に対して、ランサムウェアを使って企業が自らのシステムやデータにアクセスできないようにすることで、身代金を得ている。ソニックウォール社によると、2022年には、世界中で5億件近いランサムウェア攻撃があった。パンデミックの際に増加したデジタル通信の使用量とデジタル・ツールの普及は、ハッカーたちにより多くの手法を与えることになる。フィッシング詐欺や標的型ディープ・フェイクはますます巧妙化しており、結果として、従業員は社内からの情報要求を受け取った場合、特に細心の注意を払わなければならない。
悪意ある内部関係者による内部脅威
金融会社は自らが蓄積するデータの収益性ゆえに、サイバー犯罪者によって執拗に狙われている。犯罪者はサーバーへのアクセス、設定ミスによるセキュリティの綻び、詐欺などの手法を使ってシステムへの侵入を試み、しばしばランサムウェアを介して自分の活動を収益化する。
こうした戦術を踏まえれば、サイバーセキュリティ意識向上のための訓練が、インシデントを回避するための鍵となる。金融サービス部門においてセキュリティが侵害された原因の約3分の1は内部関係者に起因するものであり、場合によっては、従業員は自社を危険にさらしていることにさえ気づいていない。
一方、サイバー犯罪者を積極的に支援する内部関係者は、判別することが難しい。サイバーセキュリティシステムは悪意のある内部協力者からの脅威を低減するために、幅広い情報を検討し、異常な、あるいは不安定な利用者の行動を検知できるようにする必要がある。この点に関し、UBEA(ユーザーとエンティティ行動分析)は、新入社員を適切に精査し、職場での異常な慣行に注意を払うために重要である。機密データへのアクセスを許可するための過程と制御を確立し、常にこれを厳密に従わせるようにしなければならない。
重大な巻き添え被害を引き起こす国家が支援する者
国家主導型のサイバー犯罪は、今や最も悪名高い犯罪活動の一つであり、地政学的緊張が高まるなかで、今後も活発化するものと思われる。国民・国家は技術的依存の高まりを利用してスパイ行為、妨害行為、あるいはフェイクニュースを広めるためにサイバー犯罪を利用している。一部の国は、他国の民間セクターを標的にしている限り、自国内で活動するサイバー犯罪集団に目をつぶることさえある。
したがって、民間企業は、国家の支援する、動機が不明な脅威主体によって引き起こされる潜在的な巻き添え被害を注意深く監視する必要がある。
サイバーセキュリティ業界に縁遠い人たちは、国家ぐるみのサイバー犯罪の主な標的は政府関連の部門にと無意識のうちに決めつけているかもしれない。しかしながら、ヨーロッパで報告された2021年のサイバー攻撃のうち、公的機関を対象としたものはわずか4分の1でしかない。標的の半数以上は、幅広いセクターの民間企業であった。しかも標的には重要なインフラが含まれつつある。例えば、今年1月、ロイヤルメール(英国郵便)は、(さまざまな報道機関がロシアとの関係を噂する)ロックビット・ランサムウェア・グループによる「サイバーインシデント」に苦しんだ
グローバル・サプライチェーンの脆弱性
グローバル化により、世界の物流は劇的に増えつつある。このような需要の急増は、供給と製造にも大きな圧力を与えている。その結果、サプライチェーンが広範囲に張り巡らされ、些細な混乱ですら、物流全体が過敏に、大きな影響を受けるようになってしまった。パンデミックというボトルネックからすでに弱体化している製造業は、サイバー犯罪者にとって魅力的な標的となっている。
製造業者やサービスプロバイダーは、生産性を速やかに向上させるため、新しいデジタル技術を採用することが多い。しかし、その際に安全性の問題に十分な注意を払わない場合がある。ロボット工学とインターネットの導入は、ハッカーに探索と利用の新たな手段を提供してきた。その一例が、軽金属最大手の一つであるノルスク・ハイドロ社である。2019年、このノルウェーの大手エネルギー企業は、サイバー攻撃により、全従業員がITネットワークから締め出されたため、手動生産に切り替えなければならなかった。数週もの間、ノルスク・ハイドロはコンピューターを使わずに操業し、そのために7,000万ドルの費用を費やすことになってしまった
変化する規制環境
世界各国の政策立案者や規制当局は、重要な国家インフラ、企業、民間人がサイバー犯罪活動に脆弱であるという懸念に対応してきた。強靱性を高め、サイバーインシデントの増加を食い止めるため、新たな法律が次々に登場し始めている。
2021年にコロニアル・パイプライン社がハッキングされた事件は大きな注目を集めた。このような、企業やインフラを巻き込んだ一連のサイバー犯罪をきっかけに、米国は、2022年にサイバーセキュリティ強化法を可決した。この法律はサイバーセキュリティ違反を発見してから72時間以内、またはサイバー犯罪者に身代金を支払ってから24時間以内に、企業がサイバーセキュリティ・インフラセキュリティ庁に連絡することを義務付けたもので、同法は特に重要なインフラを提供する企業を対象にしている。
昨年11月、欧州議会は金融セクターのデジタル・オペレーション・レジリエンスのための包括的な枠組みとともに、新しいデジタル・オペレーション・レジリエンス法(DORA)を導入した。ほとんどすべての金融機関は、サイバー攻撃やその他のIT関連リスクから自社の防衛措置を実施するために、DORAの規制の下に置かれている。
これらの新しい法律の意味合いが明確になり、多くの国で自国のサイバーセキュリティ法が次々と制定されるようになる。あらゆる国や地域の、サイバーセキュリティに特化した規制要件の増加に対応することが、企業のサイバーセキュリティ管理者にとってますます大きな課題となるであろう
サイバーセキュリティ人材を引き付け、定着させる
残念ながら、技術の利用増加とサイバー犯罪増加に比べ、企業インフラを守るために利用できる資格を有するサイバーセキュリティ専門家の人数は、その需要に追いついていない。したがって、企業にとって適切な人材の確保・保持は困難であり、今後もそうした状況が続くと考えられる。
必要なスキルを持った専門家を採用することが重要だが、それを定着させることも同様に重要である。多くのサイバーセキュリティ専門家は、上級管理職が自分の意見を聞いてくれる組織で働きたいと望んでいる。上級管理職レベルでは、明確に定義されたサイバーセキュリティ手続きが整備され、自動化されており、組織全体のサイバーセキュリティ訓練と投資が重要な優先事項と考えられている。また、重要な課題に対して創造的な解決策を打ち出し、働いている企業とのつながりを感じてみたいと考える人も多い。このため、組織は企業固有のニーズに対処するだけでなく、サイバーセキュリティ専門家が充実したキャリアを享受できる環境の構築に注力しなければならない。絶えず進化するサイバー環境に対応するために、企業は幅広いビジョンを採用し、デジタル・インフラを守る人々に十分な資源を提供する必要がある。
トピックス
サイバー、事業中断、犯罪、国際、規制、セキュリティ、サプライチェーン、技術
注意事項:本翻訳は“Key Cybersecurity Threats To Watch For”, Risk Management Site (https://www.rmmagazine.com/articles/article/2023/04/13/insurance-considerations-for-biometric-liability) May 2023, をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
エリック・シェフラーはライア・マネー・トランスファー社最高情報セキュリティ責任者。
- 【Web特別版】車両盗難を防ぐためのヒント
【Web特別版】車両盗難を防ぐためのヒント
レイ・コーシック[*]
2020年、80万4千台以上の自動車-2019年よりも11.8%増加-が盗まれたと報告され、自動車所有者に対して、70億ドル以上の費用を負担させている。これは車両が39秒ごとに盗まれたことを意味し、取り戻し率は56%であった。
自動車窃盗犯は、商用車に属する自動車、トラック、バンのいずれであっても、いかなる機会も見逃さず、車を持ち去る。一部の業界専門家は、社用車の大部分が毎年少なくとも2回の盗難に遭遇していると推定している。取り戻せるものもあるが、取り戻せないものもある-1台の車両の損失は、企業に5万ドル以上の損害を与え、それ以上に、生産性での損失をもたらしている。
盗まれた社用車の交換は困難な場合が多い。通常、社用車は貨物部分に貴重な仕事用の機器を備えている。現代の社用車には、ラジオ、携帯電話、ラップトップなども装備され、機器でいっぱいのトラックは、泥棒にとってさらに魅力的になる。また、車両の所有者は費用を説明するための長々としたリストを追加しなければならなくなる。多くの場合、社用車が盗まれた運転手は車両そのものと車内に残した私物に対する責任を負わなければならない-盗難の原因が従業員の過失として分類された場合、それは解雇につながる可能性もある。
車両はしばしば解体工場に運ばれ、盗まれたトラックが特定されないように自動車部品に分解されて売買される。例えば、貴金属の供給に対する現在の流れを考慮すると、汚染物質を除去する触媒コンバーターは最近の人気商品である。泥棒はまた、偽の車両識別番号で車両を転売することもある。車両が回収されない限り、結果は決して良いものではないことがほとんどである。
車両盗難を防止する
泥棒がどのように考えるかを予測することはほぼ不可能であるため、車両の盗難のリスクを軽減するにはできることを可能な限り行う必要がある。防止に向けた階層化されたアプローチを行うことは、貴社の社用車が盗むには簡単ではないと窃盗犯に思わせることになる。
第1階層:実践的に考える。驚くべきことに、多くの人が次のような基本的な盗難防止を忘れてしまう。常にドアをロックする、イグニッションからキーを取り外す、窓を完全に閉める、常に明るい場所に駐車する、といったことが重要である。
第2階層:見せる、または聞こえる機器の設置。これらの機器には、アラーム音が鳴るものやステアリングコラム・ロック(ハンドルロック)、ブレーキペダルのロック、ブレーキロック、ホイールロック、盗難防止シール、車両内または車両上の識別マーカー、窓ガラスへのエッチング刻印、およびマイクロドットマーキングが含まれる。これらのデバイスのいずれかを使用すると、潜在的な窃盗犯に警告を与えたり、損傷の予防に役立つ場合がある。
第3階層: 盗難用移動防止装置。スマートキー、ヒューズ切断装置、強制停止スイッチ、スタータ/イグニッション/燃料停止装置、ワイヤレスまたはイグニッション認証は、文字通り泥棒を阻止するのに役立つ。
第4階層: GPS追跡装置。残念ながら、予防策に関係なく、泥棒が車両や貴重な機器を持ち去る場合がいくつかある。このような時、社用車の所有者はGPS追跡装置を実装して、盗まれた資産への対応と回収を迅速に進めることができる。GPS追跡技術はマッピング、セルラー、衛星技術を使用して社用車の動きを監視し、正確なリアルタイムの車両位置を提供し、従業員、マネージャー、警察が盗まれた社用車や機器を迅速に回収するために必要な情報を入手できるようにする。
盗難防止策とGPS追跡テレマティックスを実装することで、社用車管理者は盗難車を回収するだけでなく、そのプロセスを迅速に実行できるため、ビジネスが重篤な混乱に直面する可能性を低くすることができる。
トピックス
犯罪、損失管理、リスクマネジメント、セキュリティ、技術
注意事項:本翻訳は“Tips for Preventing Fleet Vehicle Theft”, Risk Management Site (https://www.rmmagazine.com/articles/article/2023/05/09/tips-for-preventing-fleet-vehicle-theft) May 2023,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
レイ・コーシックはGPS インサイト社製品マネージャー。