早いもので2018年も残すところあと僅かとなりました。
今回の記事では2018年のITやセキュリティに関する内容の振り返りをお届けしたいと思います。

仮想通貨を巡るサイバー事件

2018年1月26日、仮想通貨取引所の大手であるコインチェック社が保持している、仮想通貨の内のNEMネムが外部からのサイバー攻撃により不正に送金される事件が発生しました。
事件当時の価値で約580億円という巨額の流出に、新聞・テレビなどのメディアで連日のように報道されていたことは皆さまの記憶にも残っているのではないでしょうか。
更に、2018年9月20日には仮想通貨取引所Zaifからも約67億がサイバー攻撃によって盗まれる事件が発生しました。
コインチェックからの流出事件ではコインの取引に、ダークウェブが利用されたという報道もあり、仮想通貨事件と合わせて、ダークウェブへの関心も高まりました。
ダークウェブとは、Internet ExplorerやChromeなどのブラウザではアクセスできないWebサイトのことを言います。このWebサイトには特別な方法をつかってアクセスすることで、高い匿名性を保ち追跡が困難になることから、闇取引などに活用されています。

これら巨額のサイバー攻撃、ダークウェブといった、映画や漫画の中の世界が現実に起こったことのインパクトの強さからか、2018年11月7日に発表された、流行語大賞には「仮想通貨/ダークウェブ」がノミネートされており、一連の事件の関心の高さがうかがえます。

GDPR（一般データ保護規則）の施行

2018年中頃の出来事としては5月25日に施行された、EUのGDPR（一般データ保護規則）が 記憶に残っているのではないでしょうか。今ではGDPRという単語を知っている人も増えていますが、施行当時の5月直前にトレンドマイクロ社が取ったアンケート調査によると、6割超の人が「知らない」「理解していない」という結果でした。
その後、GDPRに違反した場合には2,000万ユーロ（約22億円）もしくは売上の4％の高い方、という多額の制裁金の情報等が共有されるにつれて、GDPRへの関心が高まったと感じています。
身近な変化ですと、ニュースサイトなどを見る際に、個人情報の取り扱いについての合意を得るメッセージやチェックが表示されるなど、様々なシーンでより個人情報を意識するようになってきています。

Facebookによる情報漏えい

そのような個人情報への関心が高まる中で、9月29日にFacebookから、5,000万人分の個人情報の流出事件が発表されました。この事件はFacebookのバグを悪意ある攻撃者が悪用することでFacebook利用者のプロフィールを閲覧できる状態になっていた、という内容です。
このバグを修正する中で、Facebookは利用者を強制的にログアウトさせており、皆さまの中でも急にログアウトされたことに驚かれた方がいらっしゃるのではないでしょうか。Facebookは2018年に何度か個人情報の流出に関する問題を起こしていますが、この9月の問題は日本を含む多くの利用者に影響がある事件でした。

ビジネスメール詐欺の増加

ビジネスメール詐欺とは、攻撃者が攻撃者自身が持つ口座へ企業からお金を不正に振り込ませるために、実在する取引先や自社の社長を含めた役職者などになりすまして偽のメールを送る詐欺をさします。“ビジネスメール”詐欺という名の通り、何らかの方法で実際の各企業の取引状況やメールのやり取りを把握し、絶妙なタイミングで詐欺メールを送る事で、不審感を持たせずに不正な振り込みへ誘導します。
ビジネスメール詐欺は、2013年ごろから確認されており、FBIが公開しているレポートによると、2013年10月～2018年5月の間に世界150か国で、約125億米ドル（約1兆4000億円）の被害総額が発表^※1されています。
2018年の話題として選んだ理由は、これまでビジネスメール詐欺は主に英語で行われており、日本語でのやり取りを基本とする日本の企業がターゲットになる事は少ない状態でした。
しかし、2017年の年末に大手航空会社がビジネスメール詐欺により約 3.8億円をだまし取られる事件があり、その後も2018年には日本語でのビジネスメール詐欺が多数確認され、2018年7月には、ビジネスメール詐欺に関与した容疑で逮捕者が出る^※2といった事件もありました。
ビジネスメール詐欺は、ランサムウェア以上に攻撃側の利益が多く、今後もさらに増える事が予想されており、IPAを始め各セキュリティ関係機関からの注意喚起が行われています。
※1 Public Service Announcement
※2 7千万円送金させた疑い ビジネスメール詐欺で逮捕

働き方改革

昨年の流行語大賞にもノミネートされた、「働き方改革」。2018年6月には参院本議会で「働き方改革関連法案」が可決され、2019年4月1日の施行に向けて各組織の対応が進んでいる状況です。
GDPRの理解度が4割程度と先ほど紹介しましたが、逆に働き方改革の認知度は95％^※3と高い関心があることが分かります。
HR総研が2018年1月に実施した働き方改革実施状況に関する調査^※4によると、働き方改革の具体的な取り組みは、1位が残業時間の削減で82％、2位が有給休暇の消化促進で61％、3位が多様な勤務時間の導入（テレワーク、時短勤務、フレックスタイム制など）で46％という結果がでていました。
3位にランクインしていたテレワークの実態について、2018年7月にシゴトバが行った調査^※5によると、28％の人がテレワークの経験があると答えています。
この内の86％は不定期にテレワークを行っていると答えており、日常的にテレワークを行うのではなく試験的にテレワークを導入しはじめた企業が増えているということが予想できます。実際に、テレワークの導入においては、インフラ面の課題よりも実際の運用ルールの用意や、セキュリティ面の懸念に対してどういった対策や管理を行うか、という点で頭を悩まされている管理者のお声をよくお伺いします。
場所や時間に捕らわれない働き方は、セキュリティの面から見るといつでも、どこでも社内データにアクセスできる、という事でありしっかりとした対策無しに運用した結果、大きなセキュリティ事故を招きかねない、という一面を持っています。しかし、セキュリティの為に、便利な機能を禁止する運用では逆効果になりかねません。
この調査結果で興味深い部分は、現在テレワークを実施している人の内、28％がテレワークを辞めたいと答えている点です。アンケートにテレワークを辞めたい理由はかかれていませんが、オフィス以外で仕事をする、という場所だけでなく業務効率の面や柔軟な働き方を実現する制度の充実が今後の課題となりそうです。

※3 「働き方改革」は悪影響？　企業が心配しているポイントとは
※4 「働き方改革」実施状況調査【1】全般：取り組みと効果・課題
※5 【500人アンケート】テレワーク実態調査

まとめ

今回取り上げた内容以外にも、Window10の運用管理やAIを使ったセキュリティなどなど、2018年は沢山のキーワードが注目を浴びていました。
2019年は、来るべき2020東京オリンピックに向けて、世界中から日本に注目が集まる1年になることが予想されます。
注目の中には、悪意ある攻撃のターゲットや予期せぬ問題の発生も考えられるため、各組織において2019年のセキュリティ方針の設定がより重要な年になるのではないかと考えています。