お知らせ・コラム
情報セキュリティ10大脅威2024から対策を考える
IPA(独立行政法人情報処理推進機構)のサイトにおいて「情報セキュリティ10大脅威2024」が公開されています。10大脅威の内容を把握するとともに、セキュリティ対策の基本をあらためて確認しておきましょう。
【目次】
1. 情報セキュリティ10大脅威とは
2. 情報セキュリティ10大脅威2024(組織編)ランキング
3 . 今回のまとめ
情報セキュリティ10大脅威とは
「情報セキュリティ10大脅威 」はIPAが2006年から毎年発行している資料で、前年に発生したセキュリティ事故や攻撃の状況等から社会的に影響が大きかったと考えられる事案から脅威候補を選出し、セキュリティ専門家や企業のシステム担当等から 構成される「10大脅威選考会」が投票を行い、決定しているものです。「個人」と「組織」の2つの立場で脅威を解説していますが、企業のセキュリティ対策にお役立ていただくため今回は「組織編」について取り上げたいと思います。
≪情報セキュリティ10大脅威2024(組織編)≫
【1位】ランサムウェアによる被害
・PC等に保存されているファイルが暗号化され、使用不可にされる
・復旧と引き換えに金銭を要求される
・情報が窃取されて、公開され、さらに攻撃を受けている事を ビジネスパートナー等に公表すると脅迫されるケースもある
・組織の規模や業種に関係なく攻撃される
【2位】サプライチェーンの弱点を悪用した攻撃
・調達から販売、業務委託等一連の商流において、 セキュリティ対策が甘い組織が足がかりとして攻撃される
・ソフトウェア開発のライフサイクルに関与するモノや人の繋がりを 足がかりとする(ソフトウェアサプライチェーン)攻撃も存在する
・取引先や業務を委託している外部組織から情報漏えいする
【3位】内部不正による情報漏えい等の被害
・組織の従業員や元従業員等による機密情報の漏えい
・組織関係者による不正行為による、組織の社会的信用の失墜、損害賠償による経済的損失
・不正に取得した情報を他組織に持ち込んだ場合、 その組織も損害賠償等の対象になるおそれがある
【4位】標的型攻撃による機密情報の窃取
・メール等を利用し、特定組織のPCをウイルスに感染させる
・組織内部に潜入し、長期にわたり侵害範囲を徐々に広げる
・組織の機密情報窃取やシステムを破壊する
【5位】修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
・脆弱性の修正プログラム(パッチ)や回避策が公開される前に 脆弱性を悪用した攻撃が行われる
・事業やサービスの停止など、多くのシステムやユーザーに被害が及ぶ
・脆弱性対策情報が公開された場合は、早急な対応が求められる
【6位】不注意による情報漏えい等の被害
・従業員の不注意等によって意図せず機密情報が漏えい
・情報漏えいすることによる社会的信用の失墜、経済的損失、 漏えいした情報の悪用による二次被害にも繋がる
【7位】脆弱性対策情報の公開に伴う悪用増加
・脆弱性対策のために公開された脆弱性情報を攻撃者が悪用する
・広く利用されている製品の脆弱性の場合は被害が広範囲に及ぶ
・脆弱性情報の公開後、それらを悪用した攻撃が発生するまでの 時間が近年は短くなっている傾向がある
【8位】ビジネスメール詐欺による金銭被害
・取引先や経営者とやりとりするようなビジネスメールを装う
・メールを巧妙に細工し、企業の金銭を取り扱う担当者を騙す
・攻撃者が用意した口座へ送金させる
【9位】テレワーク等のニューノーマルな働き方を狙った攻撃
・2020年以降、感染症対策の一環として政府機関がニューノーマルな働き方の1つであるテレワークを推奨していること、VPN(インタ-ネット回線を利用して作成される仮想の専用ネットワ-ク)等の本格的な活用がされていることから、それらを狙った攻撃が発生
・業務環境に脆弱性があると、Web会議をのぞき見されるリスクが高まる
【10位】犯罪のビジネス化(アンダーグラウンドサービス)
・サイバー犯罪に使用するサービスやツール等の取引市場が存在する
・通常のブラウザでは検索できないWebサイト上に存在する
・専門知識は不要で容易にサイバー攻撃が可能になってきている
10大脅威の順位は毎回変動しますが、基本的な対策は変わりません。このような脅威に備えるためには、攻撃手口や動向、自組織が抱える要因等を把握することが重要です。ランキングと実施すべき対策の優先度は必ずしも一致しないということを踏まえて、自社の状況に合わせて対策の優先度を決定しましょう。
今回のまとめ
脅威は数多くありますが、攻撃の糸口が似通っているため基本的な対策の重要性は変わっていません。ソフトウェアを更新し脆弱性を解消する、セキュリティソフトを利用し攻撃をブロックする、パスワ-ド管理や認証を強化しパスワ-ド窃取リスクを低減する、設定の見直しを実施し誤った設定を攻撃に利用されないようにする、脅威や手口を知ることで重視する対策を理解する、といったセキュリティ対策の基本を常に意識してリリスクの軽減に繋げましょう。しかしながら実際はセキュリティ対策の基本をどれだけ意識していてもリスクを0にすることはできません。サイバ-攻撃を受けた場合は特に初期対応が重要です。情報漏洩、信用失墜、システム停止などの被害を最小限に食い止める必要があり、損害賠償請求への対応、事件解決のための証拠保全や調査・分析も必要となるため、セキュリティに関する高度な知識と技術をもった専門家による迅速な対応が求められます。不正アクセスなどのサイバー攻撃を受けた際に、攻撃を受けたパソコンやサーバなどに残る電子的記録を保全・復元・解析することで原因や情報漏洩の影響範囲を調査する「デジタル・フォレンジック」の費用、情報漏洩に伴う損害賠償請求だけでなくビジネスメ-ル詐欺による不正誘導送金によるなりすまし詐欺損害まで対応可能な個人情報漏洩保険(サイバ-保険)を取り扱っている保険会社もございます。セキュリティ対策と合わせて導入を検討してみてはいかがでしょうか?
株式会社保険ポイントは、損害保険、生命保険を取り扱う保険代理店です。
TEL >052-684-7638
保険加入に関するご相談は、お電話、メールでお気軽にご相談ください。