2022年2月、三河にある大手部品メーカーが大規模なサイバー攻撃を受けたというニュースが流れました。その影響で工場の操業やシステムが停止したものの、会社側の懸命な対応により工場停止は1日、システムは約一カ月で復旧したということです。
記憶に新しいところで言えば、今年、ランサムウェア攻撃により事務用品通販の大手や大手飲料メーカーが攻撃を受け、出荷や操業を停止するなどの事態が発生しています。警察庁サイバー警察局によれば、ランサムウェアの被害報告件数は 116 件であり、半期の件数として令和4年下半期と並び最多でした。※令和7年上半期における サイバー空間をめぐる脅威の情勢等について
残念なことですが、国内に留まらず世界中からシステムの隙をついた攻撃がなされ、その対応に各企業がおそわれています。
◎スパムメールへの対応
大企業を狙ったランサムウェア攻撃でなくとも、攻撃の入り口としてスパムメールが挙げられます。
AIの登場以来、正規の企業メールと見間違えるほどの精度でやってくるスパムメールをうっかり開いてしまうケースが増加ししていることを皆さまも実感されているのではないでしょうか。偽装サイトでアカウントID・パスワードを入力してしまうなど、容易に情報開示に導かれてしまう環境が生まれています。
迷惑メール受信状況 (出典:一般財団法人日本データ通信協会)
これに対抗するため、企業サイトやアプリへのスパム・不正アクセスから保護するセキュリティシステムとしてGoogle reCAPTCHA(リキャプチャ)を導入するなどの動きが広まっています。
その他、WEBサーバーの前に設置され一般的なファイヤーウォールに対しより高度なレベルで攻撃を防ぐWAF(Web Application Firewall)や、メール送信者のドメイン認証技術が開発されたことで、サーバー側における送信ドメイン認証技術「DMARC」の導入が進んでいます。(「送信ドメイン認証技術DMARC導入ガイドライン」迷惑メール対策推進協議会、2024年7月)
各企業様で導入されているシステムが異なるように、適切なセキュリティ強化策は各企業様ごとに異なってきます。厳しくなる外部環境と内部体制を考慮して、効果的な施策を打てるようぜひ検討されてください。
◎コンプライアンス対応
2023年6月に「電気通信事業法」が改正されたことをご存じでしょうか。これまで規制対象外だった事業者(WEBサイト運営者など)に義務が課され、ウェブサイト利用者のプライバシー保護と公正な競争環境の整備が強化されました。
「電気通信事業における個人情報等の保護に関するガイドライン解説」(総務省、令和7年10月改定)
ホームページを運営する各事業者にとって、問合せフォームから入力いただいたお客様の個人情報を保護することはもちろんですが、この改正電気通信事業法では、利用者の同意なく、クッキー等を通じて自身の情報が第三者に送信されることを防ぎ、透明性を高めることを目的に「Cookie規制(外部送信規律)」が盛り込まれたことに注目です。
具体的な対策として、Cookie同意ボタンをサイトのトップページに設置し、利用者にCookie情報の利用規約(プライバシーポリシー等)に同意いただいてからサイトを利用していただきます。
Cookie規制違反に対する直接的な刑事罰は設けられていませんが、総務大臣による業務改善命令や違反事業者名の公表があり、これに従わない場合はさらに罰則が科される可能性があります。個人情報を取り扱う事業者として責任を果たしているアピールにもなるため、導入される企業が増えてきました。
「外部からの不正なアクセスは防ぎ、お客様の個人情報は大切に保護する」、という企業姿勢が今問われている気がします。
現時点で具体的なセキュリティ被害や影響を受けておられる企業様はもちろん、コンプライアンスを高め今後必要な対策を取ろうと考えておられる企業様はお気軽にお問合せください。
コメント