株式会社NTTデータグループ（以下：NTTデータグループ）は、サイバーセキュリティに関するグローバル動向について調査を実施し、セキュリティ被害の抑止を目的に調査結果を公開した。本記事ではEC事業者に関連する一部内容を抜粋して紹介する。

セキュリティ脅威に対抗するパスキー

グローバルセキュリティ動向四半期レポート2022年度第3四半期で取り上げられた、パスワードレス認証「パスキー」について、現在の状況や基本概念などに触れながら、導入のステップや注意事項が解説された。

パスキーは、パスワードレス認証の新しい方式であり、これまでのパスワードレス認証方式よりも、セキュリティの確保とユーザビリティの向上を狙って設計。そのため、近年のフィッシング攻撃などの認証情報を狙ったセキュリティ脅威に対抗するための強力なツールとなることが期待されている。

また、パスキーははユーザビリティが低下する「多要素認証」と比較して、認証プロセスの追加の手間や物理トークンなどの追加のセキュリティ対応を必要としない。こういった特徴からセキュリティとユーザビリティのバランスを効果的に実現することが可能だ。

競争優位性を保つ上でも、パスキーの積極的評価、導入の検討が推奨された。

ランサムウェアに対する対策方針

近年増加傾向であるランサムウェア攻撃に加え、その変化形となる「ノーウェアランサム攻撃」について今後の対策方針が解説された。

ノーウェアランサムを使った攻撃は、ファイルの暗号化部分を除けば、データの暗号化を行うランサムウェア攻撃と同様の攻撃手法。そのため、従来のランサムウェアのセキュリティ対策で未然防止や復旧が可能となる。

万が一、ノーウェアランサム攻撃を未然防止できずに、ノーウェアランサムの感染や内部への侵入を許してしまった場合、攻撃者のサーバやRaaSへのファイルやデータの送信を許可しない仕組みや機密データの暗号化が重要となるだろう。

データのバックアップ対策などを導入する組織の増加に伴い、従来のランサムウェア攻撃の被害は一定数に落ち着くと推測する一方、データの窃取を行うノーウェアランサム攻撃は増加すると予測された。

サイバー攻撃を受けた場合の情報公開について

セキュリティインシデント（※1）対応時の情報共有義務化について、世界各国で広まりつつあることを共有。

日本国内でも2022年4月より改正個人情報保護法によって、個人データの漏えい等が発生して個人の権利利益を害するおそれがある場合には、個人情報保護委員会への報告を義務付けられてる。しかしながら、まだ完全にセキュリティインシデント対応時の情報共有が進んでいるとは言えないと指摘した。

サイバー攻撃を受けた組織は、セキュリティインシデントの詳細情報の公開が自組織の風評に影響すると考え、情報公開に慎重になるケースが多くある。

「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を活用し、的確な情報共有を行って自組織と社会全体の双方のメリットを最大化するべきであると述べた。

※1：サイバー攻撃によるサービスの停止やヒューマンエラーによる情報漏えい、天災などによる事故など、企業の安全性を揺るがすような情報セキュリティに関する事象。