IPA 『情報セキュリティ10大脅威 2024』からセキュリティ対策を考える

独立行政法人情報処理推進機構(IPA)は前年に発生した情報セキュリティにおける事案から選出した脅威について『情報セキュリティ10大脅威』として、2006年から毎年発表しています。今年も2月に発表されましたが、個人向けと組織向けのうち、組織向けの情報セキュリティ10大脅威(以下の通り)について本コラムで取り上げたいと思います。

情報セキュリティ10大脅威 2024[組織]

  • 1位 ランサムウェアによる被害
  • 2位 サプライチェーンの弱点を悪用した攻撃
  • 3位 内部不正による情報漏えい等の被害
  • 4位 標的型攻撃による機密情報の窃取
  • 5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
  • 6位 不注意による情報漏えい等の被害
  • 7位 脆弱性対策情報の公開に伴う悪用増加
  • 8位 ビジネスメール詐欺による金銭被害
  • 9位 テレワーク等のニューノーマルな働き方を狙った攻撃
  • 10位 犯罪のビジネス化(アンダーグラウンドサービス)

出典:情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

アイディネットワークスで私が初めてセキュリティ製品に関わったのが1999年頃ですが、その頃には聞かれなかった言葉がいくつかあります。例えば、『ランサムウェア』、『標的型攻撃』などがそうです。『ゼロデイ攻撃』や『脆弱性』は当時からあったと思いますが、あまり一般的ではなかったような気がします。逆に『内部不正による情報漏えい』や『不注意による情報漏えい』は当時から言われていたことで、セキュリティ製品の提案資料などに使っていました。逆に、『詐欺による金銭被害』や『犯罪のビジネス化』などは企業向けのセキュリティ製品提案の場では耳にすることはありませんでした。『サプライチェーンの弱点を悪用した攻撃』というのは、取引先とのやり取りの電子化が進んだ結果だと考えられます。改めてこの30年ほどで通信技術が飛躍的に発達し、インターネットや電子機器の普及が進んだことを感じさせられます。当時では信じられないほど多くの情報が今ではインターネット上で行き交っています。多くの情報がインターネット上でやり取りされればされるほど、情報漏えいをはじめとする情報セキュリティに関するリスクは高まります。

これらの10大脅威に対してどのようなセキュリティ対策を考えたらいいでしょうか。IPAの『情報セキュリティ10大脅威 2024』解説書には、『表1.6 複数の脅威に有効な対策集』として以下の7つの対策が挙げられています。

  • パスワードを適切に運用する
  • 情報リテラシー、モラルを向上させる
  • メールの添付ファイル開封や、メールやSMSのリンク、URLのクリックを安易にしない
  • 適切な報告/連絡/相談を行う
  • インシデント対応体制を整備し対応する
  • サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う
  • 適切なバックアップ運用を行う

出典: 情報セキュリティ10大脅威 2024 解説書 (ipa.go.jp)

上記からわかる通り、情報セキュリティ対策のためには、情報が保存されているサーバーやクライアントなどのシステムや通信を行うためのネットワーク機器において、適切な対策やデータのバックアップは行わなければなりませんが、実は、同様に、もしくはそれ以上に、パスワードの適切な運用、情報リテラシーやモラルの向上、リンクを安易にクリックしないこと、セキュリティ事故発生時の報告/連絡/相談も重要です。つまり、情報セキュリティ対策において重要なのは、「セキュリティ製品を入れて終わり」ではなく、会社全体の情報セキュリティに関する方針に基づいた対策を実行しながら、足りないところに新たな手当をし、PDCAを回すことにより、情報セキュリティの確保に努めることだと思います。時代の変化とともに、攻撃の技術も対策の技術も変化し続けますが、どの情報を誰から(何から)保護しなければならないのか、という基本に基づき、できるだけ効率的、効果的な対策に取り組むようにしたいです。

<<中小企業診断士 岡本麻代>>

関連資料

コメント