医療機関では、患者の個人情報や医療記録といった沢山の機微な情報を取り扱っていますが、こうした情報はサイバー犯罪者にとって格好の標的となる可能性があります。例えば、患者の個人情報をそのままアンダーグラウンド市場で売買したり、また情報を悪用すれば、さらなる詐欺行為を行うことが可能になるなど、サイバー犯罪者はさまざま方法で利益を得ることができるためです。また、機微な情報だけがサイバー犯罪者の狙いではありません。医療機関のネットワークに攻撃を仕掛け、医療機器やシステムの動作を不安定にし、患者の命を危険にさらすことで、身代金を要求するといった手口も想定されるでしょう。
2018年も国内の医療機関において、様々なセキュリティインシデントが発生しており、医療機関では自組織のネットワークのセキュリティリスクを把握した上で、セキュリティ対策の強化を検討していくことが求められています。
続きを読む「水」および「エネルギー」は重要インフラストラクチャの中でも特に中心的な部門と言えます。どちらの事業部門も、最新技術を取り入れながら、自然資源の利用と供給を効率化するために必要な改善を続けてきました。目下、そのような取り組みは、特に産業用 IoT(Industrial Internet of Things、IIoT)技術の統合による相互に連結されたシステムの構築に向けて進められています。水事業やエネルギー事業におけるこのような継続的開発により、個人および法人は、より効率的で信頼できる資源供給の恩恵を享受しています。しかし一方で、水事業やエネルギー事業に関連する重要システムの保護はますます難しいものとなっています。監視制御システム(Supervisory Control And Data Acquisition、SCADA)やヒューマン・マシン・インターフェイス(HMI)のような重要インフラストラクチャを支えるシステムで発見される脆弱性の増加に従い、重要部門が直面するリスクについて認識することの重要性が高まっています。
続きを読むトレンドマイクロでは 2018 年上半期(1~6 月)における国内外の脅威動向について分析を行いました。過去数年にわたりサイバー犯罪の中心となっていた「ランサムウェア」の攻撃は 2018 年に入り急減。それと入れ替わるように「不正マイニング」を筆頭とする仮想通貨狙いの脅威が、日本を含め世界的に拡大しました。同時に日本では「フィッシング詐欺」の攻撃が急増し、過去最大の規模となりました。この半年間に起こったサイバー犯罪動向からは、2017年に起こった様々なサイバー犯罪の転換が更に明確になると共に、新たな傾向が明らかになってきたものと言えます。
トレンドマイクロでは、2017 年の 1 年間に確認した、日本国内における「標的型サイバー攻撃」に関しての分析を行いました。2017 年を振り返ると、標的型サイバー攻撃の重大な被害に関する公表や報道はほとんどありませんでした。この事実だけを見ると、国内での標的型サイバー攻撃の脅威は完全に沈静化しているように思えます。しかし、トレンドマイクロが 2017 年に行ったネットワーク監視の中では、全体の 71%で 標的型サイバー攻撃の疑いが警告されており、攻撃自体は水面下で継続している状況と言えます。
トレンドマイクロでは 2018 年第 1 四半期(1~3 月)における国内外の脅威動向について分析を行いました。ここ数年サイバー犯罪の中心であった「ランサムウェア」の脅威は急減し、代わって「不正マイニング」など仮想通貨を狙う攻撃が台頭するなど、昨年から続く様々なサイバー犯罪の転換がより鮮明に表れていたことがわかりました。
いよいよ今日施行される EU 一般データ保護規則(GDPR)に関して、企業における認知や対策が進んでいない現状からいくつかのリスクが考えられる一方で、サイバー犯罪の観点で考えたときに外せないのが、「GDPR に関連したサイバー犯罪は起きるのか?」という疑問です。GDPR 施行に合わせて、遅れる認知や対応に起因したリスクと、施行に関連してどのようなサイバー犯罪が起きる可能性があるのかを考察してみます。
EEA 参加国の個人情報を取り扱っている企業においても、GDPR への対策はおろか認知・理解が進んでいない実態については先日解説した通りです。近年、国内でも個人情報保護法や割賦販売法の改正といった個人情報の取り扱いに関連した法規制の整備が進んでいますが、海外発の法規制で国内法人組織に影響を及ぼすものがあるということ自体想定していなかたったという方たちも少なくないかもしれません。結果的に、GDPR 自体の認知度の低さにも影響していると推測されます。
続きを読む情報漏洩事故が発生し過失があった際には、最大で約26億円の制裁金や個人情報の利用停止措置が発生することになる EU 一般データ保護規則(GDPR、General Data Protection Regulation)が、一週間後の 2018 年 5 月 25 日に施行となります。国内の企業や官公庁自治体といった多くの法人組織にも大いに影響があるこの規則ですが、施行まであと一週間を控え、この内容はおろか規則の存在自体の認知が進んでいない現状が明らかになりました。
GDPR の認知・理解度と法人組織の対応状況について、官公庁自治体や民間企業において情報システム、リスク管理、法務、経営企画の各領域における主任以上の意思決定者・関与者998名を対象に、トレンドマイクロでは 2018 年 3 月から 4 月にかけて調査を実施しました。その結果、全体の半数以上の 66.5% が GDPR の存在自体知らない、あるいは名前しか知らないという実態が明らかになりました。近年では、改正個人情報保護法が 2017 年 5 月 30 日に施行し、また改正割賦販売法が GDPR 施行直後の 2018 年 6 月 1 日から施行となり、国内でも個人情報保護に関連した法整備が進んでいます。個人情報やプライバシーの保護に関連して海外でも法規制の整備が行われている一方で、国内の法人組織にも影響のある海外の法規制に対する認知や理解が進んでいない実情がうかがい知れます。
