次に、組織部門である。 1位　ランサムウェアによる被害 2位　標的型攻撃による機密情報の窃取 3位　テレワーク等のニューノーマルな働き方を狙った攻撃 4位　サプライチェーンの弱点を悪用した攻撃 5位　ビジネスメール詐欺による金銭被害 6位　内部不正による情報漏えい 7位　予期せぬIT基盤の障害に伴う業務停止 8位　インターネット上のサービスへの不正ログイン 9位　不注意による情報漏えい等の被害 10位 脆弱性対策情報の公開に伴う悪用増加 　組織部門で注目すべき点は、3位の「テレワーク等のニューノーマルな働き方を狙った攻撃」だ。これまで社内のパソコンで仕事をして、社内のネットワークでデータをやり取りしていたのが、自宅勤務により、各自の自宅で仕事をしてインターネット経由でデータをやり取りするようになった。 　仮想専用回線などを利用してデータをやり取りする企業もあるだろうが、全ての企業が、そうした措置をとるわけではない。また、個人のパソコンで仕事をしているところもあるだろう。セキュリティのルールをどうするかなど、慌ただしく移行した場合には、適切なルールが存在しないこともあるはずだ。 　そうした状態での、新しいセキュリティ的な脅威が多数発生していることは、想像に難くない。 　さて、残りの順位も見ていこう。1位の「ランサムウェアによる被害」は、ファイルを暗号化するなどして重要なデータを人質に取り、その救出のために身の代金を払わせるという攻撃だ。 　この脅威は、2020年は5位、2019年は3位、2018年、2017年は2位、2016年は7位になっている。データをもとにサービスを提供している会社にとって、データが人質に取られるのは致命的だ。個人を狙う攻撃が、広く浅く金を得るやり方だとすると、組織を狙う攻撃は、大きな金額を一発で得るやり方だと言える。こうした攻撃は、成功したときの金額が大きいので、攻撃者側にとって旨味が大きい。 　2位は「標的型攻撃による機密情報の窃取」だ。先ほどと同じ理由で、金を持っている企業は、攻撃対象として狙われやすい。標的型攻撃は、攻撃対象の情報を集めて、カスタマイズした攻撃をおこなう方法だ。こうした攻撃は、金銭目的だけではなく、国家間の諜報でも用いられる。防衛関係の企業などが狙われているのは、そうした背景がある。 　この脅威は、2020年から2016年にかけて連続1位だ。2015年に3位になっているが、それ以前はずっと1位か2位が続いている。企業が最も気を付けなければならない脅威だと言える。 　4位は「サプライチェーンの弱点を悪用した攻撃」だ。サプライチェーンは、調達や製造、在庫管理や物流、販売といった企業間のつながりのことだ。こうした繋がりの弱点を足掛かりにして、攻撃を広げていく手法を指す。 　この脅威は、2020年、2019年ともに4位で、2019年から10大脅威に登場した。一社だけで防備を固めていても防げない厄介な攻撃だと言える。 　5位は「ビジネスメール詐欺による金銭被害」だ。「口座が変わった」などの嘘の情報を送り、攻撃者の口座にお金を振り込ませるといった手口だ。直接的にお金を盗まれるので、高額な被害になることが多い。 　この脅威は、2020年には3位、2019年には2位、2018年には3位となっている。近年脅威が警告されている攻撃手法だ。 　6位は「内部不正による情報漏えい」だ。廃棄予定のHDDの販売や、情報を盗んでの販売や転職などが当たる。内部不正は、内部事情を知り尽くしている人がおこなうので防ぐのは難しい。内部の管理がずさんになっていたり、経営陣が恨みを持たれていたり、理由も千差万別だろう。 　この脅威は、2020年には2位、2019年には5位、2018年には8位、2017年には5位、2016年、2015には2位、2013年には9位、2012年には7位となっている。大きな内部不正があると順位が高くなるが、基本的には常時発生していて、問題になっている脅威だと言える。 　7位は「予期せぬIT基盤の障害に伴う業務停止」だ。東証の停止などは記憶に新しい。他にもクラウドの停止など、業務が止まることはたびたび発生する。こうしたトラブルを完璧に防ぐことは難しいだろう。停止を少なくすることは当然として、停止する前提で、日頃から準備をしておく必要がある。 　この脅威は、2020年に6位で初登場している。世の中の仕組みが、IT中心になってきたことの、ある意味証拠かもしれない。 　8位は「インターネット上のサービスへの不正ログイン」だ。この年、10大脅威に初登場したが、常時どこかで起きている脅威だ。 　9位は「不注意による情報漏えい等の被害」だ。よくあるトラブルは、ノートパソコンを入れた鞄を忘れる、添付付きメールの誤送信などだ。人間なので、どんなに注意していても発生してしまう。意識を高めることも重要だが、ルール作りや運用、ソフトウェアによるチェックなど、システム側で被害を減らす工夫も必要になる。 　この脅威は、2020年は7位、2019年は10位となり、近年注目され始めたことが分かる。 　10位は「脆弱性対策情報の公開に伴う悪用増加」だ。この年に初登場した10大脅威だ。脆弱性対策情報が公開されたら、素早くその対策を実施しなければならない。しかし、その脆弱性への対策をおこなわない人や組織も多い。その結果、脆弱性だけが悪用されて、攻撃の材料になる。 　ITが業務の中心になると、こうした対策を常時おこなわなければならなくなる。仕事を楽にするためにITを導入しているのに、仕事が増えるという皮肉が発生する。それでもIT化しなければ時代に取り残されるので、こうしたところに経営者がコストを割かなければならない。