フィッシングによる個人情報等の詐取に注意！！

公的機関や金融機関、ショッピングサイト、宅配業者等の有名企業を騙るメールやショートメッセージを送信し、偽サイトに誘導してIDや個人情報を盗み、電子マネーカード等を購入させるフィッシング詐欺。情報セキュリティ10大脅威2022で個人向け脅威の第1位になりました。

ハイブリッド戦に備える

リスクマネジメントの第1歩とも言えるリスクの洗い出しに課題を持っている企業は少なくありません。「他社はどのようにやっているのか」「単純作業のように毎年行うことに意味があるのか」など、疑問や課題を感じている企業も少なくないのではないでしょうか？　今回は、リスクの洗い出しの目的や手法、改善のポイントを解説します。

大災害まであと８年と仮定した準備シナリオ

南海トラフ地震の30年以内の発生確率は実に70～80%、さらに首都直下地震や富士山噴火の危機も叫ばれ、未曾有の５連動災害が絵空事ではなくなっています。2020年代に首都直下地震、30年代に南海トラフ地震、その後に富士山噴火が起きるとしたら、そのカウントダウンに際して企業は何をすべきか。今回は南海トラフ地震と大阪に焦点をあてて考えます。

内輪のBCMを脱し外部の評価を勝ち取れ

顧客や取引先の信用を得るためにも、これからはマルチハザードBCPが必要です。しかし、BCMに取り組んでいても、多くの企業がそれを対外的にアピールできていません。内輪の活動にとどまっている限り、外部から評価される機会は来ないでしょう。その意味でも今一度自社のBCPとBCMを見直し、アピールしていくことが肝要です。ポイントを解説します。

水に流そう…とはならない

米バイデン政権は、重要インフラのサイバーセキュリティ強化に取り組んでいる。そこで求められる主な目的は、インシデントの早期発見と、脅威情報の共有だ。持続可能な成長を維持していくためにも、重要なポイントである。

システム要員の疲弊と攻撃の巧妙化

デジタル革命が声高に叫ばれる中、ますますサイバーリスクとの遭遇可能性は高まっている。しかも、サイバー犯罪が巧妙化、大規模化することに対応して、様々な変化も見えてきている。サイバーリスクは組織にとって大きな経営課題となっており、IT関連部門だけの問題ではなく、全社的な対応が求められている。つまり、全社的リスク管理の課題なのである。こうしたサイバーリスクに対応するためには、サイバーリスクの変化の方向性を理解し、備えることが必要となる。

第171回：米国企業の取締役がサイバーセキュリティに取り組む上での課題

今回紹介する報告書は、企業のサイバーセキュリティに対する準備状況などを調査した結果がまとめられたもの。米国の代表的な株式市場の一つである NASDAQ に上場している企業の役員が調査対象。

携帯電話会社を装ったショートメッセージに注意！

携帯電話会社を装って、料金の未払いや利用停止予告といったショートメッセージを送信し、偽サイトに誘導してIDや個人情報を盗み、電子マネーカード等を購入させるフィッシング詐欺に注意してください！！

第3版英国国家サイバー戦略

英国は、2021年12月に第三版となる「国家サイバー戦略2022」を発表しました。2011年と2016年の初版、第二版「サイバーセキュリティ戦略」から、「サイバー戦略」と名称を変えたこの最新版では、広範な視点でより包括的なアプローチを掲げています。

第17回 認知バイアス

サイバーセキュリティに気を付けていても、バイアスによって不正解に導かれてしまうことがあります。どのようなバイアスがあって、情報セキュリティの観点からどういう問題がありうるのか掘り下げます。バイアスを理解することは、企業が情報セキュリティに対するアプローチを変えていく上で大いに役立ちます。

経営層がIT部門に尋ねるべき10の質問

経営層がIT部門に尋ねるべき10の質問が、NCSC（英国国家サイバーセキュリティセンター）より公開された。一見すると使い古された質問のようにも思えるが、あらためて考えさせられることも多い。全て答えることができるだろうか？

「Emotet」と呼ばれるウイルスへの感染を狙うメールに注意！

世界中に大きな被害をもたらしたマルウェア「Emotet」が、2021年11月14日頃から攻撃活動を再開し、ウイルスに感染させる手口に変化が確認されたことから、情報処理推進機構（IPA）等は注意を呼びかけています。

保険加入を自社のセキュリティ対策に生かせ

サイバーセキュリティに対する攻撃が激増している。激増の理由としては、この攻撃が効率のいいビジネスになっていることがあげられる。ハッカーは侵入することで身代金を払わせるのだが、その脅しはコンピュータシステムをロックして機能させるだけでなく、身代金を払わなければ機密情報を公開する、ないしは完全に使えなくするということまで含まれる。システムを回復すればいいということでは済まされない。

そのリンクをクリックする前に

コロナ禍に伴う働き方の変化によって、より多くのサイバー犯罪被害が発生した。LINEなどのメッセージングアプリで情報を守るためにはどうしたら良いのか？怪しいメールに騙されないためには？ 再三語られていることではあるが、いま一度紹介していきたい。

第16回 信用しないことで、信頼を得る

この数年、セキュリティ業界においてあちこちで聞かれる「ゼロ・トラスト」。誤った認識を持たれているケースもあるようです。改めてゼロ・トラストについて掘り下げます。

第166回：セキュリティ・オペレーション・センターのパフォーマンスを左右する要因を探る

組織のセキュリティ・オペレーション・センター（SOC）の運営に関わる実務者を対象として行ったアンケート調査の結果報告書。管理職とスタッフとの間の回答の違いやパフォーマンスの高いSOCと低いSOCとの違いなどからSOCのパフォーマンスを上げるための要素を洗い出す。

移住して気づいた大都市と地方の乖離

佐賀県唐津市へ移住し初めて首都圏外で生活。これまで研究してきたセキュリティー対策があくまで大都市向けだったと気づきました。しかし、交通網・通信網がこれだけ発達した時代、地方はセキュリティーを考えなくてよいことにはなりません。本連載は大都市と地方都市のセキュリティー事情や意識を比較しながら、これからの新たなセキュリティーのあり方を考えます。

「ウイルスが検出された」などの偽警告に注意！

偽のセキュリティ警告画面に電話番号を表示して、電話をかけさせ偽のサポートへ誘導する「サポート詐欺」「偽警告詐欺」と呼ばれる手口が横行しています。

第165回：3年ぶりに復活したBCIのサイバー・レジリエンス調査

BCMの専門家や実務者による非営利団体である BCIによるサイバー・レジリエンス調査報告書が3年ぶりに復活した。実際に事業継続やサイバーセキュリティに関する実務者の方々や経営層の方々が、どのような課題に向き合い、乗り越えようとしているかが生々しく伝わってくる内容となっている。

影響を最小化するためには

サイバーリスクを引き込む要因は人的要因によって引き起こされることもあるし、どれだけ気を付けていたとしても誤ってリスクを引き込んでしまうこともある。その際に影響を最小化するためには、どのような施策が考えられるのだろうか。

取締役会の訴訟にもつながるESGの注意点

ESG（環境、社会、ガバナンス）は企業を評価する新たな基準として定着しつつある。とりわけESG投資は、それまでの財務情報に基づいた投資判断を、こうした新たな3つの視点も含めたものへと広げたという意味で、企業行動の変革を促す契機になりつつある。

第164回：世界のリスクマネジャーがどのようなリスクに直面しているか

世界最大級の保険・再保険ブローカーであるAonが、企業や公的機関でリスクマネジメントに関する意思決定者を対象として行ったアンケート調査の2021年版。担当者が懸念している重要リスク1位はサイバー攻撃／データ漏洩だった。3年後に懸念されるリスクのランキングでもサイバー攻撃／データ漏洩が1位となっており、当面の間は多くの企業や公的機関にとって脅威となり続けるという見通しが示されている。

第15回 「朝四暮三」の妙

苛烈さを増すランサムウェア攻撃。今やセキュリティという一分野の人々の問題ではなく、経営リスク環境における全役職員の問題となっています。法外な身代金要求を受けてみて初めて、「払うべきか、払わざるべきか？」と考えるのではなく、リスク対応に幾ら、何時払うと「出費を抑えられるか？」ということを考える段階にきているのです。

国内外におけるランサムウェア被害が多発（後編）

前号では、国内で発生しているランサムウェア被害の特徴を説明しましたが、今号では、警察庁が被害企業・団体等(61件)に実施したアンケート調査結果から、ランサムウェア被害の実態を説明します。

何パーセントが制裁を科されたのか？

ランサムウェアの支払いを行うことを決定した組織に対し、政府機関への通知を要求する法案が9月の最終週に米上院議会で提出された。サイバー攻撃被害に伴う一段と厳しい要件が求められる中、企業や組織はどのように対応し、どのような実情があるのだろうか。