企業が所有する個人情報や機密情報の窃取、企業活動の妨害を目的としたサイバー攻撃は今も後を立たず、年々巧妙化、高度化が進む一方です。標的型攻撃のほか、システムの脆弱性を利用した攻撃も多発しており、情報漏洩やWeb改ざんなどの被害が出ています。
2019年1月に独立行政法人情報処理推進機構(以下、IPA)が発表した「情報セキュリティ10大脅威」において、組織が直面するセキュリティ脅威として、システムの脆弱性をついた攻撃が複数上位に挙げられ、引き続き脆弱性に対する注意が必要であることを警告しています。
システムの脆弱性は、攻撃者に格好の侵入口を与えることになり、その結果として、個人情報の流出やWebサイトの改ざんといった被害を受ける可能性があります。
さらに近年では、組み込み機器や制御システムなどへのサイバー攻撃の可能性も高まっています。これらの機器やシステムが攻撃を受けると、生産設備の稼働停止や異常動作といった被害を受けるリスクが高まります。
このように、サイバー攻撃によって、企業の事業運営に関わるさまざまな形で損害・損失をこうむるリスクは高まっており、これまで以上にセキュリティ対策は重要となっています。
多くの企業では、サイバー攻撃の脅威に対してなんらかの対策をされています。しかし、日々刻々と高度化するサイバー攻撃に対して、大切なWebサイトや社内システムを守るための対策が十分かどうかを定期的に検証されている企業は多くないでしょう。対策にはどうしても漏れがありえますし、新たな脆弱性まで網羅的に把握するには高度な知識が必要となり、十分に対応できていない可能性もあります。また、対策の範囲が広すぎて、優先度がわからない、という企業も少なくないはずです。
そこで、まずは、Webアプリケーションやメールサーバーなどの情報システムの「健康診断」、つまり脆弱性がないかの「現状把握」を行うことをおすすめします。